Strongswan VPN이 설정되었지만 패킷이 라우팅되지 않음 10.192.0.0/12 구성 ipsec.conf config setup conn %default keyexchange

Amazon EC2 인스턴스의 Linux 인스턴스와 Cisco 집중기를 통해 원격 네트워크간에 strongSwan을 사용하여 VPN을 설정하고 있습니다. Linux 인스턴스 자체의 패킷을 원격 서브넷의 시스템으로 라우팅해야합니다.

연결은 정상이지만 패킷이 라우팅되지 않습니다.

특정 라우팅 규칙을 설정해야한다고 생각합니다. 어떻게해야합니까?

소프트웨어

  • 리눅스 커널 3.5.0-41,
  • 우분투 12.10,
  • strongSwan 5.1.1 (소스에서 빌드),
  • iptables-규칙이 없습니다.

회로망

현지

  • Amazon Elastic IP : 56.xxx
  • 공개 LAN IP : 172.xxx
  • 로컬 가상 서브넷 : 10.254.0.0/16
  • 로컬 가상 IP : 10.254.5.174

  • Cisco 집중 장치의 공용 IP : 62.xxx
  • 원격 서브넷 : 10.192.0.0/12

구성

ipsec.conf

config setup

conn %default
    keyexchange = ikev1
    type = tunnel
    ikelifetime = 86400
    keylife = 28800
    keyingtries = %forever
    esp = 3des-sha
    ike = 3des-md5-modp1024
    forceencaps = yes
    leftauth = psk
    rightauth = psk

conn myconnection
    left = 172.x.x.x
    leftsubnet = 10.254.0.0/16
    leftsourceip = 10.254.5.174
    leftfirewall = yes
    right = 62.x.x.x
    rightsubnet = 10.192.0.0/12
    auto = route

include /var/lib/strongswan/ipsec.conf.inc

strongswan.conf

charon {
    cisco_unity             = yes
    install_routes          = yes
    install_virtual_ip      = yes
    threads                 = 16
    plugins {
        sql {
            loglevel = -1
        }
    }

    filelog {
        /var/log/charon.log {
            time_format = %b %e %T
            default = 3
            flush_line = yes
        }
    }
}

pluto {
}

libstrongswan {
}

ipsec 상태

# ipsec statusall
Status of IKE charon daemon (strongSwan 5.1.1, Linux 3.5.0-41-generic, x86_64):
  uptime: 4 days, since Jan 22 14:24:08 2014
  malloc: sbrk 270336, mmap 0, used 222672, free 47664
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 3445
  loaded plugins: charon aes des rc2 sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem fips-prf gmp xcbc cmac hmac attr kernel-netlink resolve socket-default stroke updown xauth-generic
Listening IP addresses:
  172.x.x.x
  54.x.x.x
Connections:
    smsbrick:  172.x.x.x...62.x.x.x  IKEv1
    smsbrick:   local:  [172.x.x.x] uses pre-shared key authentication
    smsbrick:   remote: [62.x.x.x] uses pre-shared key authentication
    smsbrick:   child:  10.254.0.0/16 === 10.192.0.0/12 TUNNEL
Routed Connections:
    smsbrick{1}:  ROUTED, TUNNEL
    smsbrick{1}:   10.254.0.0/16 === 10.192.0.0/12
Security Associations (1 up, 0 connecting):
    smsbrick[8150]: ESTABLISHED 1 second ago,    172.x.x.x[172.x.x.x]...62.x.x.x[62.x.x.x]
    smsbrick[8150]: IKEv1 SPIs: xxxxxxxxxxxxxx_i* xxxxxxxxxxxxx_r, pre-shared key reauthentication in 23 hours
    smsbrick[8150]: IKE proposal: 3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024
    smsbrick[8150]: Tasks queued: QUICK_MODE
    smsbrick[8150]: Tasks active: MODE_CONFIG

ip xfrm

# ip xfrm policy
src 10.192.0.0/12 dst 10.254.0.0/16
        dir fwd priority 3987
        tmpl src 62.x.x.x dst 172.x.x.x
                proto esp reqid 1 mode tunnel
src 10.192.0.0/12 dst 10.254.0.0/16
        dir in priority 3987
        tmpl src 62.x.x.x dst 172.x.x.x
                proto esp reqid 1 mode tunnel
src 10.254.0.0/16 dst 10.192.0.0/12
        dir out priority 3987
        tmpl src 172.x.x.x dst 62.x.x.x
                proto esp reqid 1 mode tunnel
src 0.0.0.0/0 dst 0.0.0.0/0
        socket in priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        socket out priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        socket in priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        socket out priority 0
src ::/0 dst ::/0
        socket in priority 0
src ::/0 dst ::/0
        socket out priority 0
src ::/0 dst ::/0
        socket in priority 0
src ::/0 dst ::/0
        socket out priority 0


답변

이 주제에 대해 네크로 포스트를해서 죄송합니다. 문제 해결 측면에서이 특정 구성에 대한 정보가 한곳에 많지 않습니다.

내 구성 :

  • AWS : 스트롱 스완 5.1.3
  • 공사 : Cisco ASA5520 8.4 (4) 1

조짐:

  1. Cisco ASA 프라이빗 LAN에서 AWS 프라이빗 LAN으로 항상 터널 및 핑을 시작할 수 있습니다.
  2. 터널 시간 초과 / 재시작시 Cisco ASA 측에서 트래픽이 생성 될 때까지 AWS에서 Cisco ASA로 시작하거나 핑할 수 없었습니다. IPSEC STATUSALL공개

    Tasks active: MODE_CONFIG
    Tasks queued: QUICK_MODE
    

나는 두 가지를 모두 구성 modeconfig=push하고 leftsourceip=구성 했다는 것을 알았 습니다.

Tasks active: MODE_CONFIG
Tasks queued: QUICK_MODE

modeconfig=push왼쪽에 붙어 제거 :

Tasks active: MODE_CONFIG

제거 leftsourceip=는 속임수를 썼고 모든 것이 양방향으로 안정적이었습니다.

나는 PIX가 이전 버전의 ASA를 필요로하지만이 버전은 필요하지 않다고 생각합니다.