LINUX.ORG.RU
ФорумAdmin

strongswan multicast не идет в одну сторону

 ,


0

1

здравствуйте. иемю такую проблему на сервере 

oroot@pve:~# omping -c 10000 -i 0.001 -F -q 10.10.0.17 10.10.0.21
10.10.0.21 : waiting for response msg
10.10.0.21 : joined (S,G) = (*, 232.43.211.234), pinging
10.10.0.21 : waiting for response msg
10.10.0.21 : server told us to stop

10.10.0.21 :   unicast, xmt/rcv/%loss = 9003/9003/0%, min/avg/max/std-dev = 0.150/0.262/5.712/0.189
10.10.0.21 : multicast, xmt/rcv/%loss = 9003/9003/0%, min/avg/max/std-dev = 0.169/0.287/5.724/0.191

на клиенте 

omping -c 10000 -i 0.001 -F -q 10.10.0.17 10.10.0.21
10.10.0.17 : waiting for response msg
10.10.0.17 : joined (S,G) = (*, 232.43.211.234), pinging
10.10.0.17 : given amount of query messages was sent

10.10.0.17 :   unicast, xmt/rcv/%loss = 10000/9999/0%, min/avg/max/std-dev = 0.145/0.272/5.801/0.163
10.10.0.17 : multicast, xmt/rcv/%loss = 10000/0/100%, min/avg/max/std-dev = 0.000/0.000/0.000/0.000
это при конфиге сервер 
conn host-host
	ikelifetime=60m
	keylife=20m
	rekeymargin=3m
	keyingtries=1
	authby=secret
	keyexchange=ikev2
	mobike=no
	left=5.5.5.5
	leftid=5.5.5.5
    leftsubnet=10.10.0.0/16,224.0.0.0/4
	leftfirewall=yes
	right=6.6.6.6
	rightid=6.6.6.6
    rightsubnet=%dynamic,10.10.0.0/16,10.10.255.255
    rightsourceip=10.10.0.20/30
    mark=%unique
	auto=add

клиент

conn host-host
	ikelifetime=60m
	keylife=20m
	rekeymargin=3m
	keyingtries=1
	authby=secret
	keyexchange=ikev2
	mobike=no
	left=6.6.6.6
	leftid=6.6.6.6
    leftsubnet=10.10.0.0/16,10.10.0.0/16
    leftsourceip=%config
	leftfirewall=yes
	right=5.5.5.5
	rightid=5.5.5.5
    rightsubnet=0.0.0.0/0
	auto=add

strongswan собирал вручную с --enable-forecast. мож я чет пропустил?



Последнее исправление: alexni (всего исправлений: 4)

Я конечно не мастер по strongswan, но ospf поверх него (и без GRE) у меня работает, а там соседи за счёт мультикаст находятся.

у меня трафик селекторы с обеих стороны выглядят так:

0.0.0.0/0

При этом на всех интерфейсах disable_xfrm=1 и disable_policy=1

на VTI интерфейсах disable_xfrm=0, disable_policy=1

все ipsec туннели видны в системе как vti интерфейсы.

The_Ketchup ★★
()
Последнее исправление: The_Ketchup (всего исправлений: 3)
Ответ на: комментарий от The_Ketchup

При этом на всех интерфейсах disable_xfrm=1 и disable_policy=1

на VTI интерфейсах disable_xfrm=0, disable_policy=1

поставил. без изменения

alexni
() автор топика
Ответ на: комментарий от The_Ketchup

«хост» 

left=5.5.5.5
	leftid=5.5.5.5
    leftsubnet=10.10.0.0/16,0.0.0.0/0
	leftfirewall=yes
	right=6.6.6.6
	rightid=6.6.6.6
    rightsubnet=%dynamic,10.10.0.0/16,10.10.255.255
    rightsourceip=10.10.0.20/30
    mark=%unique
	auto=add
«клиент» 
	left=6.6.6.6
	leftsourceip=%config
	leftsubnet=0.0.0.0/0
	leftid=6.6.6.6
	right=5.5.5.5
	rightsubnet=0.0.0.0/0
	rightid=5.5.5.5
	auto=add

если на «хосте» ставлю rightsubnet=%dynamic,0.0.0.0/0,10.10.255.255, исходя из описания модуля forecast чтоб multicast гулял везде, то «клиент» вообще теряется в адресах...

alexni
() автор топика
Ответ на: комментарий от The_Ketchup

да.

проблема решена. ступил. по умолчанию тип transport. В датацентре на меня ооооочень ругались, засрал им таблицы arp. ) поставил type=tunnel - все гут.

alexni
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin