Strongswan 터널이 작동 중이지만 서로 ping할 수 없습니다.

tag-icon tag-icon vpn ipsec strongswan
Strongswan 터널이 작동 중이지만 서로 ping할 수 없습니다.

이상한 문제에 직면했습니다. 동일한 네트워크의 Centos 8에 VPN 터널을 배치하도록 사이트를 구성했지만 연결되어 있지만 서로 핑할 수 없습니다. 여기 내 구성 및 상태가 아래에 있습니다.

사이트 A

[root@site-B ~]# Strongswan 상태 보안 연결(1개 시작됨, 0개 연결 중): 2gateway-to-gateway1[4]: ESTABLISHED 6초 전, 100.100.100.6[100.100.100.6]... 100.100.100.22[ 100.100.100.22] 2Gateway to Gateway1{3}: 설치됨, 터널링됨, 2개 필요, ESP SPI: caeaf7b6_ic214a703_o 2Gateway to Gateway1{3}: 10.20.1.0/24 === 10.10.1.0/ 24

IP 라우팅

[root@site-A ~]# ip r 100.100.100.1을 통해 기본값 표시 dev enp0s3 proto dhcp metric 100 10.20.1.0/24 via 100.100.100.22 dev enp0s3 100.100.100.0/24 dev enp0s3 proto kernelscope link src 100.10 0 .100.22 미터법 100

onfig setup
    charondebug="all"
    uniqueids=yes

conn ateway1-to-gateway2 유형=터널 자동=시작 keyexchange=ikev2 authby=secret 왼쪽=100.100.100.22 leftsubnet=10.10.1.1/24 right=100.100.100.6 rightsubnet=10.20.1.1/24 ike=aes256-sha1-modp1024! esp=aes256-sha1! 공격적=키잉 없음 시도=%영원히 ikelifetime=28800초 수명=3600초 dpddelay=30초 dpdtimeout=120초 dpdaction=다시 시작

[root@site-A ~]# cat /etc/strongswan/ipsec.secrets 100.100.100.22 100.100.100.6 : PSK "XXXXXXXXXXXX"

[root@site-A ~]# cat /etc/sysctl.conf

net.ipv4.ip_forward = 1 net.ipv6.conf.all.forwarding = 1 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0

사이트 B

[root@site-B ~]# Strongswan 상태 보안 연결(1 시작됨, 0 연결 중): 2gateway-to-gateway1[4]: 4분 전 설정됨, 100.100.100.6[100.100.100.6]... 100.100.100.22[ 100.100.100.22] 2gateway-to-gateway1{3}: 설치됨, TUNNEL, 필수 ID 2, ESP SPI: caeaf7b6_i c214a703_o 2gateway-to-gateway1{3}: 10.20.1.0/24 === 10.10.1.0 /24

IP 라우팅

[root@site-B ~]# ip r 100.100.100.1 dev enp0s3 proto dhcp metric 100 10.20.1.0/24 via 100.100.100.6 dev enp0s3 100.100.100.0/24 dev enp0s3 proto 커널 범위 링크 src 100.100 . 100.6 미터법 100

config setup
    charondebug="all"
    uniqueids=yes

conn 2gateway-to-gateway1 유형=터널 자동=시작 keyexchange=ikev2 authby=secret left=100.100.100.6 leftsubnet=10.20.1.1/24 right=100.100.100.22 rightsubnet=10.10.1.1/24 ike=aes256-sha1-modp1024! esp=aes256-sha1! 공격적=키잉 없음 시도=%영원히 ikelifetime=28800초 수명=3600초 dpddelay=30초 dpdtimeout=120초 dpdaction=다시 시작

[root@site-B ~]# cat /etc/strongswan/ipsec.secrets 100.100.100.6 100.100.100.22 : PSK “XXXXXXXXXXXX”

[root@site-B ~]# cat /etc/sysctl.conf

net.ipv4.ip_forward = 1 net.ipv6.conf.all.forwarding = 1 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0

답변1

Aoa, 왼쪽과 오른쪽 서브넷이 서로 다른 네트워크에 있으므로 한 가지 해결책은 다음과 같습니다.

  1. 두 서브넷 모두에 게이트웨이 경로를 추가하고 서로 ping을 시작한 다음 게이트웨이 장치 간의 암호화된 패킷을 확인합니다.

명령: 경로 추가 xxx0/24 마스크 xxxx xxxx(gw)

관련 정보