Strongswan и cisco. ЧЯДНТ?

0

1

Привет ЛОР, помоги разобраться.

Есть циска на стороне клиента и strongswan ( U5.7.2/K3.10.0-957.el7.x86_64) на моей стороне. Конфиг strongswan вот:


conn cisco1
        left=1.1.1.1
        leftsubnet=1.1.1.1/32
        leftid=1.1.1.1
        right=2.2.2.1
        rightsubnet=2.2.2.2/32
        rightid=2.2.2.1
        auto=route
        ike=aes256-sha512-modp1536
        esp=aes256-sha1-md5
        keyexchange=ikev2

Коннект поднимается, всё работает. Возникла необходимость добавить ещё внутренний пир на той стороне.

Несколько лет назад, когда я использовал strongswan последний раз, это решалось просто:


conn cisco2
        also=cisco1
        rightsubnet=3.3.3.3/32

Теперь у меня это не прокатывает и strongswan up cisco2 приводит к такому:

parsed CREATE_CHILD_SA response 2 [ N(INVAL_KE) ]
peer didn't accept DH group MODP_NONE, it requested MODP_1536
establishing CHILD_SA cisco2{5}
requested DH group MODP_1536 not contained in any of our proposals

Если же добавить в cisco2 параметры ike и esp, оно поднимется, но заменяет собой cisco1. То есть, параметр also тупо игнорируется. Что я делаю не так и куда копать?

Ссылка

←	OpenVPN server CentOS7

iptables masquerade 2 gw

→

для IKEv2 не нужно создавать дополнительные соединения для подсетей. rightsubnet=2.2.2.2/32,3.3.3.3/32 и будет создано необходимое количество SA

Bloody ★★
(19.10.20 11:16:28 MSK)

Ответ на: комментарий от Bloody 19.10.20 11:16:28 MSK

О, круто, сейчас попробую. Спасибо.

tolstoevsky ★
(19.10.20 11:19:45 MSK) автор топика

Ссылка

Ответ на: комментарий от Bloody 19.10.20 11:16:28 MSK

После добавления что-то странное:

unable to install policy 2.2.2.2/32 === 1.1.1.1/32 in for reqid 2, the same policy for reqid 1 exists
unable to install policy 2.2.2.2/32 === 1.1.1.1/32 fwd for reqid 2, the same policy for reqid 1 exists
unable to install policy 1.1.1.1/32 === 2.2.2.2/32 out for reqid 2, the same policy for reqid 1 exists
unable to install IPsec policies (SPD) in kernel

3.3.3.3 в логах не фигурирует в принципе.

Может, проще попросить v1 откатиться?

tolstoevsky ★
(19.10.20 11:32:52 MSK) автор топика

Ответ на: комментарий от tolstoevsky 19.10.20 11:32:52 MSK

с v1 будет еще хуже, сейчас вам скорее всего понадобится перезапуск туннеля с обоих сторон, а при дальнейшей эксплуатации (как показывает лично мой опыт, я не претендую на абсолютную истину) систематический перезапуск туннеля со стороны cisco.

Bloody ★★
(19.10.20 12:04:06 MSK)

Ответ на: комментарий от Bloody 19.10.20 12:04:06 MSK

Понятно. Спасибо большое.

tolstoevsky ★
(19.10.20 12:12:22 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	OpenVPN server CentOS7

Admin

iptables masquerade 2 gw

→

Похожие темы