Palo Alto 라우터에 연결된 CentOS7에 Strongswan을 설치했습니다. 원격 라우터의 구성에 액세스할 수 없습니다. 반대쪽에 두 개의 서브넷(하나의 IP만 있는 서브넷)을 구성하고 싶습니다. ipsec.conf에 다음 구성이 있습니다.
conn %default
keyexchange=ikev2
authby=secret
conn net-net
ike=aes256-sha512-modp2048!
leftauth=psk
left=xx.xx.xx.xx
leftsubnet=10.255.1.0/24
leftfirewall=yes
rightauth=psk
right=yy.yy.yy.yy
auto=add
rightsubnet=10.250.72.0/24,192.168.149.199/32
터널을 시작한 후에는 192.168.149.199로만 ping할 수 있지만 10.250.72.0/24의 호스트에는 ping을 할 수 없습니다. 10.250.72.0/24 서브넷만 구성하면 ping이 제대로 작동합니다.
내 버전:
[root@ipsec01 strongswan]# strongswan --version
Linux strongSwan U5.4.0/K3.10.0-514.6.1.el7.x86_64
설명서에 따르면 쉼표로 구분된 기호가 정확해야 합니다. 어떤 구성을 사용해야 합니까?
답변1
설명서에 따르면 쉼표로 구분된 기호가 정확해야 합니다...
이는 다른 피어가 CHILD_SA당 여러 서브넷을 지원하는 경우입니다. 여기서는 그렇지 않을 수도 있습니다. 그렇다면 별도의 CHILD_SA를 시작하려면 여러 conn 섹션을 정의해야 합니다.
conn %default
keyexchange=ikev2
authby=secret
conn net-net
ike=aes256-sha512-modp2048!
leftauth=psk
left=xx.xx.xx.xx
leftsubnet=10.255.1.0/24
leftfirewall=yes
rightauth=psk
right=yy.yy.yy.yy
auto=add
rightsubnet=10.250.72.0/24
conn net-host
also=net-net
rightsubnet=192.168.149.199/32
"strongswan up net-net"이 성공했지만 "INVALID_SYNTAX 알림 오류 수신"과 함께 "strongswan up net-host"가 실패합니다. net-host를 먼저 설정하면 성공하고 net-net은 실패합니다. 그래서 두 번째는 항상 실패합니다 ...
IKE_SA당 여러 CHILD_SA가 생성되는 경우에도 피어에 문제가 있는 것 같습니다(그러나 이 경우 INVALID_SYNTAX는 이상한 오류입니다). 이를 방지하려면 charon.reuse_ikesa
Strongswan.conf에서 비활성화할 수 있습니다. 이러한 방식으로 두 번째 CHILD_SA와 함께 새로운 IKE_SA가 생성됩니다.
후자는 피어당 하나의 IKE_SA만 허용되는 경우 문제를 일으킬 수 있습니다. 따라서 또 다른 가능한 옵션(피어가 지원하는 경우)은 설정 rightsubnet=0.0.0.0/0
(연결 부분만 필요)하는 것입니다. 그런 다음 다른 피어는 이를 허용하는 서브넷으로 범위를 좁힐 수 있습니다. 그러나 이는 첫 번째 시도와 다소 유사하므로 처음에 CHILD_SA 문제당 여러 서브넷이 있는 피어에서는 작동하지 않을 수 있습니다.