작업 연결 A->B 및 B->C가 있습니다.
3일 동안 시도한 후에도 약간의 도움이 필요하지만 여전히 원하는 결과를 얻을 수 없습니다.
IPsec 정책을 사용하여 A->C 및 C->A에서 연결을 얻으려면 사이트 B에서 무엇을 설정해야 합니까?
사이트 A 마이크로틱
로컬 10.10.0.0/24
공개=179.xxx
사이트B 우분투 서비스
로컬 192.168.0.0/24
공개=216.xxx
사이트 C Pfsense
로컬 192.168.255.0/24
공개=218.xxx
B->A를 연결하세요
type=tunnel
auto=add
keyexchange=ikev2
authby=secret
leftid=216.x.x.x
left=216.x.x.x
leftsubnet=192.168.0.0/24
right=179.x.x.x
rightsubnet=10.10.0.0/24
ike=aes256-sha1-modp2048!
esp=aes256-sha1!
aggressive=no
keyingtries=%forever
ikelifetime=28800s
lifetime=3600s
dpddelay=30s
dpdtimeout=120s
B->C를 연결하세요
type=tunnel
auto=add
keyexchange=ikev2
authby=secret
leftid=216.x.x.x
left=216.x.x.x
leftsubnet=192.168.0.0/24
right=218.x.x.x
rightsubnet=192.168.255.0/24
ike=aes256-sha1-modp2048!
esp=aes256-sha1!
aggressive=no
keyingtries=%forever
ikelifetime=28800s
lifetime=3600s
dpddelay=30s
dpdtimeout=120s
dpdaction=restart
답변1
이 클래식에서는허브 및 스포크 시나리오, IPsec 정책을 협상해야 합니다(다음을 통해).왼쪽|오른쪽 서브넷)에는 로컬 측에서 A와 C를 연결하는 이러한 서브넷이 포함됩니다.
따라서 B->A에 대해서는 구성해야 leftsubnet=192.168.0.0/24,192.168.255.0/24하고 B->C에 대해서는 구성해야 합니다 leftsubnet=192.168.0.0/24,10.10.0.0/24.
A와 C에서는 A의 원격 트래픽 선택기에 C의 서브넷이 포함되고 그 반대도 가능하도록 비슷한 변경을 수행해야 합니다(B의 실제 원격 서브넷 네트워크로 범위를 좁히려면 0.0.0.0/0을 제안할 수도 있음). 이 두 가지 방법은 B에 연결된 호스트가 CHILD_SA당 여러 서브넷을 지원하는 경우에만 작동합니다(Mikrotik의 경우는 그렇지 않을 수 있음). 그렇지 않은 경우 각 서브넷에 대해 별도의 연결을 생성해야 합니다(참조:이 FAQ 항목StrongSwan 위키에서).