URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 97292
[ Назад ]

Исходное сообщение
"Настройка OpenSwan site-to-site"
Отправлено koteg , 06-Окт-18 01:01

Доброго дня, коллеги.

Возникла проблема при конфигурировании сервиса VPN OpenSwan для site-to-site взаимодействия.
Суть проблемы: Стартует демон ipsec, создаётся адаптер, но у адаптера нет атрибутов IP, соответственно, нормальная работа с адаптером невозможна.
Вот что показывает ifconfig:

[root@localhost ~]# ifconfig -a
ip_vti0: flags=128<NOARP>  mtu 1480
        tunnel   txqueuelen 1  (IPIP Tunnel)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Конфигурационные файлы OpenSwan:
cat /etc/ipsec.conf

config setup
        plutodebug=all
        plutostderrlog=/var/log/pluto.log
        protostack=netkey
        nat_traversal=yes
        oe=offconn MY_CONN
        type=tunnel ## указываем что тип соединения туннель ##
        auto=start ## автоматически поднимать соединение ##
        authby=secret ## указываем что авторизоваться фразой ##
        pfs=no
        ikelifetime=86400s
        keyexchange=ike
        ike=aes128-sha2_256;dh19
        phase2=esp
        esp=aes128-sha2_256
##Описываем настройки локальной стороны ##
        left=X.X.X.X ## Указываем внешний ip адрес ##
        leftsourceip=X.X.X.X
        leftsubnet=X.X.X.X/32 ## указываем внутреннюю подсеть ##
        leftnexthop=чfaultroute
        leftid=@left
##Описываем настройки удаленной стороны ##
        right=Y.Y.Y.Y
        rightsubnets={172.22.22.0/24}
        rightnexthop=чfaultroute
        rightid=@right

cat /etc/ipsec.secrets

#siteA-public-IP  siteB-public-IP:  PSK  "pre-shared-key"
X.X.X.X  Y.Y.Y.Y :  PSK  "XXXXXXXXXXXXXX"

На сервере настроен роутинг:

iptables -t nat -A POSTROUTING -s X.X.X.X -d 172.22.22.0/24 -j SNAT --to 172.27.218.155

Версии ОС и OpenSwan

[root@localhost ~]# uname -a
Linux localhost.localdomain 3.10.0-693.el7.x86_64 #1 SMP Tue Aug 22 21:09:27 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux
[root@localhost ~]# ipsec --version
Linux Libreswan 3.23 (netkey) on 3.10.0-693.el7.x86_64
[root@localhost ~]#

Вопрос: почему у созданного адаптера нет атрибутов IP?

Логи и ipsec status могу выложить по требованию, ибо много места занимают.

Содержание

Настройка OpenSwan site-to-site,PavelR, 11:40 , 06-Окт-18

Сообщения в этом обсуждении

"Настройка OpenSwan site-to-site"
Отправлено PavelR , 06-Окт-18 11:40

1)
>Вопрос: почему у созданного адаптера нет атрибутов IP?
Хз как там в OpenSwan, я конкретно его не помню когда ставил, но есть несколько инсталляций StrongSwan.
Так вот, для того, чтобы организовать site-to-site при "type=tunnel" никаких интерфейсов ("адаптеров") не требуется, соответственно на них не требуется IP-адресов.
Ядро линукса производит перехват трафика, для этого устанавливаются политики (см "ip xfrm policy").
Дальше трафик шифруется и отправляется в сторону "right" ("left").
2)
>На сервере настроен роутинг:
>
>iptables -t nat -A POSTROUTING -s X.X.X.X -d 172.22.22.0/24 -j SNAT --to 172.27.218.155
Если вы не отличаете роутинг от NAT, то с IPSEC у вас будут нехилые сложности.
NAT в site-to-site как бы не нужен, на то он и site-to-site.