LINUX.ORG.RU
ФорумAdmin

Трафик между тремя сетями в Libreswan IPSec

 , , ,


0

1

Топология сети:

Сервер Libreswan IPSec:

  • eth0: 10.144.0.0/22 src 10.144.0.3
  • ipsec1: 10.160.0.0/16, left=11.11.11.171 (libreswan), right=22.22.227.194 (azure ipsec)
  • ipsec2: 10.161.0.0/16, left=11.11.11.171 (libreswan), right=33.33.19.118 (azure ipsec)

Из сети eth0 видно сеть ipsec1 и ipsec2. И наоборот: из ipsec1 видно сеть eth0, из ipsec2 видно сеть eth0.

Проблема в том, что сети ipsec1 и ipsec2 не видят друг друга. На Libreswan IPsec я вижу, что трафик приходит, но он, почему-то, не маршрутизируется в другую сеть.

ipsec.conf:

conn ipsec1
  type=tunnel
  authby=secret
  dpdaction=restart
  dpddelay=30
  dpdtimeout=120
  salifetime=3600s
  left=11.11.11.171
  right=22.22.227.194
  rightsubnet=10.160.0.0/16
  ikev2=yes
  ike=aes128-sha1-modp1024
  keyingtries=3
  phase2alg=aes128-sha1
  rekey=yes
  pfs=no

conn net_10-144-0-0
  leftsubnet=10.144.0.0/12
  leftsourceip=10.144.0.3
  also=ipsec1
  auto=start

conn net_10-161-0-0
  leftsubnet=10.161.0.0/16
  also=ipsec1
  auto=start

conn ipsec2
  type=tunnel
  authby=secret
  dpdaction=restart
  dpddelay=30
  dpdtimeout=120
  salifetime=3600s
  left=11.11.11.171
  right=33.33.19.118
  rightsubnet=10.161.0.0/16
  ikev2=yes
  ike=aes128-sha1-modp1024
  keyingtries=3
  phase2alg=aes128-sha1
  rekey=yes
  pfs=no

conn net_10-144-0-0
  leftsubnet=10.144.0.0/12
  leftsourceip=10.144.0.3
  also=ipsec2
  auto=start

conn net_10-160-0-0
  leftsubnet=10.160.0.0/16
  also=ipsec2
  auto=start

# ip xfrm policy

src 10.144.0.0/12 dst 10.160.0.0/16
        dir out priority 2736 ptype main
        tmpl src 11.11.11.171 dst 22.22.227.194
                proto esp reqid 16389 mode tunnel
src 10.160.0.0/16 dst 10.144.0.0/12
        dir fwd priority 2736 ptype main
        tmpl src 22.22.227.194 dst 11.11.11.171
                proto esp reqid 16389 mode tunnel
src 10.160.0.0/16 dst 10.144.0.0/12
        dir in priority 2736 ptype main
        tmpl src 22.22.227.194 dst 11.11.11.171
                proto esp reqid 16389 mode tunnel
src 10.144.0.0/12 dst 10.161.0.0/16
        dir out priority 2736 ptype main
        tmpl src 11.11.11.171 dst 33.33.19.118
                proto esp reqid 16397 mode tunnel
src 10.161.0.0/16 dst 10.144.0.0/12
        dir fwd priority 2736 ptype main
        tmpl src 33.33.19.118 dst 11.11.11.171
                proto esp reqid 16397 mode tunnel
src 10.161.0.0/16 dst 10.144.0.0/12
        dir in priority 2736 ptype main
        tmpl src 33.33.19.118 dst 11.11.11.171
                proto esp reqid 16397 mode tunnel
src 10.160.0.0/16 dst 10.161.0.0/16
        dir out priority 2608 ptype main
        tmpl src 0.0.0.0 dst 0.0.0.0
                proto esp reqid 0 mode transport
src 10.161.0.0/16 dst 10.160.0.0/16
        dir out priority 2608 ptype main
        tmpl src 0.0.0.0 dst 0.0.0.0
                proto esp reqid 0 mode transport

Пожалуйста, помогите разобраться.



Последнее исправление: snvakula (всего исправлений: 2)

Наискосок, смущает...

conn net_10-144-0-0
  leftsubnet=10.144.0.0/12
  leftsourceip=10.144.0.3
  also=ipsec1
  auto=start

conn net_10-161-0-0
  leftsubnet=10.161.0.0/16
  also=ipsec1
  auto=start
сабж не пользовал, но если что-то подобное strongswan то в логах должно быть написано какие соединения выбраны.

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.