Доброго дня, коллеги.Возникла проблема при конфигурировании сервиса VPN OpenSwan для site-to-site взаимодействия.
Суть проблемы: Стартует демон ipsec, создаётся адаптер, но у адаптера нет атрибутов IP, соответственно, нормальная работа с адаптером невозможна.
Вот что показывает ifconfig:[root@localhost ~]# ifconfig -a
ip_vti0: flags=128<NOARP> mtu 1480
tunnel txqueuelen 1 (IPIP Tunnel)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0Конфигурационные файлы OpenSwan:
cat /etc/ipsec.confconfig setup
plutodebug=all
plutostderrlog=/var/log/pluto.log
protostack=netkey
nat_traversal=yes
oe=offconn MY_CONN
type=tunnel ## указываем что тип соединения туннель ##
auto=start ## автоматически поднимать соединение ##
authby=secret ## указываем что авторизоваться фразой ##
pfs=no
ikelifetime=86400s
keyexchange=ike
ike=aes128-sha2_256;dh19
phase2=esp
esp=aes128-sha2_256
##Описываем настройки локальной стороны ##
left=X.X.X.X ## Указываем внешний ip адрес ##
leftsourceip=X.X.X.X
leftsubnet=X.X.X.X/32 ## указываем внутреннюю подсеть ##
leftnexthop=чfaultroute
leftid=@left
##Описываем настройки удаленной стороны ##
right=Y.Y.Y.Y
rightsubnets={172.22.22.0/24}
rightnexthop=чfaultroute
rightid=@rightcat /etc/ipsec.secrets
#siteA-public-IP siteB-public-IP: PSK "pre-shared-key"
X.X.X.X Y.Y.Y.Y : PSK "XXXXXXXXXXXXXX"На сервере настроен роутинг:
iptables -t nat -A POSTROUTING -s X.X.X.X -d 172.22.22.0/24 -j SNAT --to 172.27.218.155Версии ОС и OpenSwan
[root@localhost ~]# uname -a
Linux localhost.localdomain 3.10.0-693.el7.x86_64 #1 SMP Tue Aug 22 21:09:27 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux
[root@localhost ~]# ipsec --version
Linux Libreswan 3.23 (netkey) on 3.10.0-693.el7.x86_64
[root@localhost ~]#Вопрос: почему у созданного адаптера нет атрибутов IP?
Логи и ipsec status могу выложить по требованию, ибо много места занимают.
1)>Вопрос: почему у созданного адаптера нет атрибутов IP?
Хз как там в OpenSwan, я конкретно его не помню когда ставил, но есть несколько инсталляций StrongSwan.
Так вот, для того, чтобы организовать site-to-site при "type=tunnel" никаких интерфейсов ("адаптеров") не требуется, соответственно на них не требуется IP-адресов.
Ядро линукса производит перехват трафика, для этого устанавливаются политики (см "ip xfrm policy").
Дальше трафик шифруется и отправляется в сторону "right" ("left").2)
>На сервере настроен роутинг:
>
>iptables -t nat -A POSTROUTING -s X.X.X.X -d 172.22.22.0/24 -j SNAT --to 172.27.218.155Если вы не отличаете роутинг от NAT, то с IPSEC у вас будут нехилые сложности.
NAT в site-to-site как бы не нужен, на то он и site-to-site.