我在 CentOS7 上安装了 Strongswan,连接到 Palo Alto 路由器。我无法访问远程路由器上的配置。我想在另一端配置两个子网——一个只有一个 IP。我在 ipsec.conf 中有这个配置:
conn %default
keyexchange=ikev2
authby=secret
conn net-net
ike=aes256-sha512-modp2048!
leftauth=psk
left=xx.xx.xx.xx
leftsubnet=10.255.1.0/24
leftfirewall=yes
rightauth=psk
right=yy.yy.yy.yy
auto=add
rightsubnet=10.250.72.0/24,192.168.149.199/32
启动隧道后,我只能ping 192.168.149.199,但是10.250.72.0/24 没有hosts。如果我只配置了 10.250.72.0/24 子网,ping 就可以了。
我的版本:
[root@ipsec01 strongswan]# strongswan --version
Linux strongSwan U5.4.0/K3.10.0-514.6.1.el7.x86_64
根据手册,逗号分隔的符号应该是正确的。我应该使用什么配置?
根据手册,逗号分隔的符号应该是正确的......
如果另一个对等点支持每个 CHILD_SA 的多个子网。可能情况并非如此。如果是这样,您必须定义多个 conn 部分来启动单独的 CHILD_SA:
conn %default
keyexchange=ikev2
authby=secret
conn net-net
ike=aes256-sha512-modp2048!
leftauth=psk
left=xx.xx.xx.xx
leftsubnet=10.255.1.0/24
leftfirewall=yes
rightauth=psk
right=yy.yy.yy.yy
auto=add
rightsubnet=10.250.72.0/24
conn net-host
also=net-net
rightsubnet=192.168.149.199/32
“strongswan up net-net”成功,但之后“strongswan up net-host”失败并显示“received INVALID_SYNTAX notify error”。当我首先设置 net-host 时,这个成功,然后 net-net 失败。所以第二个总是失败......
如果每个 IKE_SA 创建多个 CHILD_SA,则该对等点似乎也有问题(但是,在这种情况下, INVALID_SYNTAX 是一个奇怪的错误)。为了避免 charon.reuse_ikesa在 strongswan.conf 中可能被禁用。这样,一个新的 IKE_SA 与第二个 CHILD_SA 一起创建。
如果每个对等方只允许一个 IKE_SA,后者可能会导致问题。因此,另一种可能的选择(如果对等方支持)是设置rightsubnet=0.0.0.0/0(只需要一个 conn 部分),然后另一个对等方可以将其缩小到它允许的子网。但是,这有点类似于您的第一次尝试,因此它可能不适用于每个 CHILD_SA 有多个子网问题的对等点。
| 归档时间: |
|
| 查看次数: |
16969 次 |
| 最近记录: |