The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"Настройка OpenSwan site-to-site"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (VPN / Linux)
Изначальное сообщение [ Отслеживать ]

"Настройка OpenSwan site-to-site"  +/
Сообщение от koteg (ok), 06-Окт-18, 01:01 
Доброго дня, коллеги.

Возникла проблема при конфигурировании сервиса VPN OpenSwan для site-to-site взаимодействия.
Суть проблемы: Стартует демон ipsec, создаётся адаптер, но у адаптера нет атрибутов IP, соответственно, нормальная работа с адаптером невозможна.
Вот что показывает ifconfig:

[root@localhost ~]# ifconfig -a
ip_vti0: flags=128<NOARP>  mtu 1480
        tunnel   txqueuelen 1  (IPIP Tunnel)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Конфигурационные файлы OpenSwan:
cat /etc/ipsec.conf

config setup
        plutodebug=all
        plutostderrlog=/var/log/pluto.log
        protostack=netkey
        nat_traversal=yes
        oe=off

conn MY_CONN
        type=tunnel ## указываем что тип соединения туннель ##
        auto=start ## автоматически поднимать соединение ##
        authby=secret ## указываем что авторизоваться фразой ##
        pfs=no
        ikelifetime=86400s
        keyexchange=ike
        ike=aes128-sha2_256;dh19
        phase2=esp
        esp=aes128-sha2_256
##Описываем настройки локальной стороны ##
        left=X.X.X.X ## Указываем внешний ip адрес ##
        leftsourceip=X.X.X.X
        leftsubnet=X.X.X.X/32 ## указываем внутреннюю подсеть ##
        leftnexthop=чfaultroute
        leftid=@left
##Описываем настройки удаленной стороны ##
        right=Y.Y.Y.Y
        rightsubnets={172.22.22.0/24}
        rightnexthop=чfaultroute
        rightid=@right

cat /etc/ipsec.secrets

#siteA-public-IP  siteB-public-IP:  PSK  "pre-shared-key"
X.X.X.X  Y.Y.Y.Y :  PSK  "XXXXXXXXXXXXXX"

На сервере настроен роутинг:

iptables -t nat -A POSTROUTING -s X.X.X.X -d 172.22.22.0/24 -j SNAT --to 172.27.218.155

Версии ОС и OpenSwan

[root@localhost ~]# uname -a
Linux localhost.localdomain 3.10.0-693.el7.x86_64 #1 SMP Tue Aug 22 21:09:27 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux
[root@localhost ~]# ipsec --version
Linux Libreswan 3.23 (netkey) on 3.10.0-693.el7.x86_64
[root@localhost ~]#

Вопрос: почему у созданного адаптера нет атрибутов IP?

Логи и ipsec status могу выложить по требованию, ибо много места занимают.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Настройка OpenSwan site-to-site"  +/
Сообщение от PavelR (??), 06-Окт-18, 11:40 

1)

>Вопрос: почему у созданного адаптера нет атрибутов IP?

Хз как там в OpenSwan, я конкретно его не помню когда ставил, но есть несколько инсталляций StrongSwan.

Так вот, для того, чтобы организовать site-to-site при "type=tunnel" никаких интерфейсов ("адаптеров") не требуется, соответственно на них не требуется IP-адресов.

Ядро линукса производит перехват трафика, для этого устанавливаются политики (см "ip xfrm policy").
Дальше трафик шифруется и отправляется в сторону "right" ("left").

2)

>На сервере настроен роутинг:
>
>iptables -t nat -A POSTROUTING -s X.X.X.X -d 172.22.22.0/24 -j SNAT --to 172.27.218.155

Если вы не отличаете роутинг от NAT, то с IPSEC у вас будут нехилые сложности.

NAT в site-to-site как бы не нужен, на то он и site-to-site.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor