Birden fazla sağ alt ağa bağlanma açılır

14

Yerel ağımdan uzak bir siteye bir IPsec VPN bağlamak için Openswan'ı (sürüm 2.6.37) kullanmaya çalışıyorum. Uzak sitedeki tek bir alt ağa bağlanmak istediğimde her şey iyi çalışıyor. Ancak, uzak sitede erişmek istediğim ekstra bir alt ağ da var.

Bu benim yapılandırmam:

conn myConn
        type=tunnel
        left=192.168.139.14
        leftsubnet=192.168.139.0/24
        leftxauthclient=yes
        right=X.X.X.X
        rightsubnet=172.16.1.0/24
        keyexchange=ike
        auth=esp
        authby=secret
        phase2alg=3des-sha1
        pfs=yes

Ne zaman rightsubnetile değiştirmek rightsubnets, böyle:

rightsubnets={172.16.1.0/24 192.168.3.0/24}

... sonra bağlantı başarıyla oluşturulur, ancak yalnızca listedeki son alt ağ kullanılabilir. Alt 172.16.1.0ağda herhangi bir şeye ping işlemi denemesi başarısız olur. Alt ağların sırasını takas edersem ping 172.16.1.Xyapabilirim ancak diğer alt ağda hiçbir şeye ping atamazım. Sanki Openswan bir bağlantı oluşturmak için listedeki son alt ağı kullanıyormuş gibi.

Burada yanlış bir şey mi yapıyorum?

Ben söz ihmal bu ekstra bilgi Biraz (ben değilim rağmen emin alakalı): My Openswan istemci NAT kullanarak bir router arkasında olduğunu ve var nat_traversal=yesbenim de ipsec.confdosyaya.

networking  vpn  ipsec 
FixMaker
kaynak
VLAN kullanıyor musunuz? Neredeyse aynı sorunu yaşadım ve sorun bir VLAN
Her alt ağ için bir tane olmak üzere iki güvenlik ilişkisi kurmayı denediniz mi?
Gimmesudo
@Tyke, hayır VLAN kullanmıyorum. OpenSwan istemcim NAT kullanan bir yönlendiricinin arkasında - bunu yansıtmak için soruyu güncelledim.
FixMaker
@gimmesudo: Yeni bir bağlantı ( connection myConn2) için yukarıdaki yapılandırmamı çoğaltmayı denedim rightsubnet. Kullandığımda ipsec auto --up myConn172.168.1.X'e ping atabiliyorum. İkinci bağlantıyı ( ipsec auto --up myConn2) getirmeye çalıştığımda , 192.168.3.X'e ping atabilirim, ancak ilk bağlantı tamamen ölür.
FixMaker
Birçok IPSec yönlendiricide (Cisco gibi) istemci olarak bağlanmak için, kullanımı daha kolay olacak vpnc!
F. Hauri

Yanıtlar:

3

Birden çok alt ağ için normal ayırıcı virgül gibi görünüyor , ancak en azından openswan-2.6.32 boşluklarla da çalışıyor.

/var/log/secureNeden çalışmadığına dair ipuçları içerebilecek ilginç bilgiler günlüğe kaydedilmelidir . Ayrıca çıktısını gönderebilir ip x s shve ip x p sh.

skarap
kaynak
Burada tek ana bilgisayardan birden çok ana bilgisayara geçmeye çalışıyorsanız, birden çok alt ağın anahtarının rightsubnet*s*tekil yerine çoğul ( ) olduğuna dikkat edin .
mgarciaisaia
1

connTünelin İKİ uç noktalarında her alt ağ için bölüm yapılandırması yapın . Bunlardan sadece biri (ilk başladı) bir SA müzakeresi başlatacak, ikincisi (ya da daha fazlası) diğer alt ağlardan sadece yeni bir SPD yapacak.

Endre Szabo
kaynak
Ne yazık ki uzak uç nokta bir üçüncü taraf FortiGate yönlendirici (OpenSwan çalışmıyor) olduğundan bunu yapamam. Sorunun yönlendiricinin aynı uç noktalar arasında birden fazla tünel ile başa çıkamamasıyla ilgili olup olmadığını merak etmeye başlıyorum.
FixMaker
1

OpenSwan'da, alt ağ listesinin düzgün çalışması için sonunda fazladan virgül gerektiği bir hata var gibi görünüyor. Deneyin:

rightsubnets={172.16.1.0/24,192.168.3.0/24,}

Sondaki ekstra virgüle dikkat edin.

Ryan Shillington
kaynak
Durum böyle değil, test vakalarının veya örneklerinin hiçbirinde fazladan virgül yok.
mcr
1

Eğer kullanırsanız rightsubnetskullanmak zorunda leftsubnetsyanı değil leftsubnet. Bu tarafta sadece bir alt ağ olsa bile. ipsec.confAdam sayfa bu açıklayan harika bir iş yapmaz, ama var.

Ben aylarca benzer sorunları vardı ve sadece openwanda çoklu alt ağlar yönlendirme sorunu cevabını buldum .

exor314
kaynak
1
Durum böyle değil. leftsubnets = {singletone}, leftsubnet = ile aynı olmalıdır. (Kodu yazdım)
mcr
Libeswan 3.15 kullanarak benim için çalışan çözüm buydu. Solumda tek bir alt ağ ve sağımda birkaç tane vardı. Solu leftsubnet = ve sağını rightsubnets = {} kullanarak yapılandırdıysam, yalnızca son haklar alt ağı gerçekten bağlandı. Solu, bir alt ağ ile leftsubnets = {} kullanacak şekilde yapılandırdığımda, herkese bağlı.
Adam Plumb
-3

Böyle olmalı 

rightsubnets={172.16.1.0/24,192.168.3.0/24}

,Girdileri ayırmak için boşluk değil , virgül ( ) kullanın .

Madhu
kaynak
1
İki yıl öncesinin cevabı böyle görünüyor.
G-Man, 'Monica'yı Eski
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.