LINUX.ORG.RU
ФорумAdmin

ipsec routing

 


0

2

Добрый день!

Подскажите,пожалуйста, с такой проблемой. Имеется настройка ipsec тоннеля «site to site» из локальной сети до тестовой среды в облаке. Локальня сеть имеет подсетку 172.16.0.0/12 и подключение идет из под NAT без внешнего IP и не с шлюза. IP машины в локальной сети 172.16.0.131. Облачная сеть имеет ip 1.1.1.1 и локальную сеть 10.10.2.0/24.

На обоих машинах стоят Centos 8 и установлен libreswan-4.5-1.el8.x86_64

Подключение идет с локалки в облако.

конфиг облачного сервера

conn gtg
        left=1.1.1.1
        leftsourceip=10.10.2.200
        leftsubnet=10.10.2.200/32
        right=%any
        rightsubnet=172.16.0.0/12
        type=tunnel
        authby=secret
        auto=add
        ike=3des-sha1-modp1024
        keyexchange=ike
        phase2=esp
        phase2alg=3des-sha1
        compress=no
        pfs=no

Конфиг локального сервера

conn gtg
        left=172.16.0.131
        leftsourceip=172.16.0.131
        leftsubnet=172.16.0.0/12
        right=1.1.1.1
        rightsourceip=1.1.1.1
        rightsubnet=10.10.2.200/32
        type=tunnel
        authby=secret
        auto=start
        ike=3des-sha1-modp1024
        keyexchange=ike
        phase2=esp
        phase2alg=3des-sha1
        compress=no
        pfs=no

Запускаю systemctl start ipsec на облачном сервере, следом в локалке и тоннель поднимается.

ping 172.16.0.131 - есть с облачного сервера, а вот вся остальная сеть - не пингуется. Локальная сеть 172.16.0.0/12 не должна видеть облачную, ну как минимум это не так важно, по этой причине маска 32.

Подскажите, пожалуйста, где что я забыл сделать?

Спасибо.

Если ты используешься IPSEC без VTI(отдельного нормального интерфейса через который можно по-человечески делать маршрутизацию, а не черезжопно как принято в IPSEC), то показывай как выглядит SA и SPD

вот вся остальная сеть - не пингуется.

На сети что указано в качестве маршрута по умолчанию? Локальный сервер? Но скорее всего проблема именно в маске /32 в конфиге - просто SA не создаётся для машин в сети, только для локального сервера. Такое нужно файрволлом решать: -m policy в iptables для туннелей или простое совпадение по src/dst, если используется VTI

Pinkbyte ★★★★★ ()
Последнее исправление: Pinkbyte (всего исправлений: 2 )

и не с шлюза

this
Варианты:
1. Прописать на роутере раздачу роутинга через машинку на которой поднимаете ipsec.
2. nat

anc ★★★★★ ()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.