OpenBSD IPsec 라우팅

tag-icon tag-icon routing openbsd ipsec
OpenBSD IPsec 라우팅

IPsec을 사용하여 OpenBSD 홈 라우터에 연결하려는 OpenBSD VM이 있습니다. 목표는 홈 네트워크와 가상 머신 사이에 보안 채널을 설정하는 것입니다.

따라서 라우터에는 다음과 같은 ike conf'가 있습니다.

ip_mirror= "212.237.177.102"
ip_dina= "89.234.141.151"

ikev2 'mirror.22decembre.eu' passive esp \
        from 2a06:4001:c7:e2::/64 to 2a00:5881:8110:2100::/64 \
        from 2a06:4001:c7:e2::/64 to 2a00:5881:8110:2100::2 \
        local 2a06:4000:10::c7 peer 2a00:5881:8110:2100::2 \
        dstid dina.22decembre.eu \
        rsa

ikev2 'mirrorv4' passive esp \
        from 10.0.0.0/16 to 10.2.0.0/16 \
        from 10.0.0.0/16 to $ip_dina \
        local $ip_mirror peer $ip_dina \
        dstid dina.22decembre.eu \
        rsa

가상 머신에서:

ip_dina= "89.234.141.151"
ip_mirror= "212.237.177.102"
ip6_dina="2a00:5881:8110:2100::2"
ip6_mirror="2a06:4000:10::c7"

ikev2 'dina.22decembre.eu' active esp \
        from 2a00:5881:8110:2100::/64 to 2a06:4001:c7:e2::/64 \
        from  $ip6_dina  to 2a06:4001:c7:e2::/64 \
        local $ip6_dina peer $ip6_mirror \
        dstid mirror.22decembre.eu \
        rsa

ikev2 'dinav4' active esp \
        from  10.2.0.0/16  to 10.0.0.0/16 \
        from $ip_dina to 10.0.0.0/16 \
        local $ip_dina peer $ip_mirror \
        dstid mirror.22decembre.eu \
        rsa

이는 관련 프로세스를 생성합니다(제 생각에는 그렇게 생각합니다).

stephane@dina:/home/stephane doas ipsecctl -sa
FLOWS:
flow esp in from 10.0.0.0/16 to 10.2.0.0/16 peer 212.237.177.102 srcid FQDN/dina.22decembre.eu dstid FQDN/mirror.22decembre.eu type require
flow esp in from 10.0.0.0/16 to 89.234.141.151 peer 212.237.177.102 srcid FQDN/dina.22decembre.eu dstid FQDN/mirror.22decembre.eu type require
flow esp out from 10.2.0.0/16 to 10.0.0.0/16 peer 212.237.177.102 srcid FQDN/dina.22decembre.eu dstid FQDN/mirror.22decembre.eu type require
flow esp out from 89.234.141.151 to 10.0.0.0/16 peer 212.237.177.102 srcid FQDN/dina.22decembre.eu dstid FQDN/mirror.22decembre.eu type require
flow esp in from 2a06:4001:c7:e2::/64 to 2a00:5881:8110:2100::/64 peer 2a06:4000:10::c7 srcid FQDN/dina.22decembre.eu dstid FQDN/mirror.22decembre.eu type require
flow esp in from 2a06:4001:c7:e2::/64 to 2a00:5881:8110:2100::2 peer 2a06:4000:10::c7 srcid FQDN/dina.22decembre.eu dstid FQDN/mirror.22decembre.eu type require
flow esp out from 2a00:5881:8110:2100::/64 to 2a06:4001:c7:e2::/64 peer 2a06:4000:10::c7 srcid FQDN/dina.22decembre.eu dstid FQDN/mirror.22decembre.eu type require
flow esp out from 2a00:5881:8110:2100::2 to 2a06:4001:c7:e2::/64 peer 2a06:4000:10::c7 srcid FQDN/dina.22decembre.eu dstid FQDN/mirror.22decembre.eu type require

SAD:
esp tunnel from 89.234.141.151 to 212.237.177.102 spi 0x4fb1aa68 auth hmac-sha2-256 enc aes-256
esp tunnel from 2a06:4000:10::c7 to 2a00:5881:8110:2100::2 spi 0x9589f762 auth hmac-sha2-256 enc aes-256
esp tunnel from 212.237.177.102 to 89.234.141.151 spi 0xb54032ea auth hmac-sha2-256 enc aes-256
esp tunnel from 2a00:5881:8110:2100::2 to 2a06:4000:10::c7 spi 0xce462a4c auth hmac-sha2-256 enc aes-256

VM의 개인 주소에서 홈 서버(또는 SSH)에 핑을 보낼 수도 있습니다.

stephane@dina:/home/stephane ping 10.0.0.2
PING 10.0.0.2 (10.0.0.2): 56 data bytes
64 bytes from 10.0.0.2: icmp_seq=0 ttl=254 time=27.239 ms
64 bytes from 10.0.0.2: icmp_seq=1 ttl=254 time=27.415 ms
64 bytes from 10.0.0.2: icmp_seq=2 ttl=254 time=27.270 ms
^C
--- 10.0.0.2 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 27.239/27.308/27.415/0.077 ms

그러나 다른 트래픽은 이를 쉽게 통과하지 못합니다(예: 시스템 로그 없음).

제가 뭘 잘못하고 있는 건지 궁금해서 OpenBSD FAQ를 몇 번 봤는데 제 오류가 보이지 않네요.

이 문제를 해결하는 데 도움을 주실 수 있나요?

관련 정보