The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Соединение двух подсетей по IPsec"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (VPN, IPSec)
Изначальное сообщение [ Отслеживать ]

"Соединение двух подсетей по IPsec"  +/
Сообщение от bm_rec (ok), 29-Янв-21, 00:41 
Я хочу соединить два облака по IPsec. Для этой цели созданы по две виртуальной машины в каждом с внешними IP-адресом. Сам IPsec настроил, пинги идут между двумя точками IPsec-машин если указывать внутренние адреса. Но не могу настроить маршрутизацию на другие виртуальные машины из той же подсети. Машина с IPsec находится в той же подсети, что и остальные. Сетевой адаптер один на каждой ВМ. Нужно ли добавлять ещё один для настройки маршрутизации? ОС Ubuntu 20.04, strongSwan версии U5.8.2, ставил командой apt-get install strongswan. В sysctl указал net.ipv4.ip_forward = 1, добавил маршрут 10.132.0.0/20 via 10.129.0.254 dev eth0, файерволл выключен. Конфиг ipsec.conf с одной стороны:

config setup
        charondebug="all"
        uniqueids=yes
conn test
        ikelifetime=600m
        keylife=180m
        rekeymargin=3m
        keyingtries=3
        keyexchange=ikev2
        mobike=no
        ike=aes256gcm16-sha512-modp4096
        esp=aes256gcm16-sha512-modp8192
        authby=psk
        left="10.129.0.254"
        leftid="1.2.3.4"
        leftsubnet=10.129.0.0/24
        leftauth=psk
        right="4.3.2.1"
        rightid="4.3.2.1"
        rightsubnet=10.132.0.0/20
        rightauth=psk
        type=tunnel
        auto=start
        dpdaction=restart
        closeaction=restart

С другой стороны аналогично. Помогите, пожалуйста, настроить маршрутизацию, чтобы подсети видели друг-друга.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Соединение двух подсетей по IPsec"  +/
Сообщение от bm_rec (ok), 29-Янв-21, 00:58 
Вот что говорит tcpdump на пингуемой машине:
21:48:24.356378 IP 10.129.0.254 > 10.132.0.195: ICMP echo request, id 16, seq 12, length 64
21:48:24.356424 IP 10.132.0.195 > 10.129.0.254: ICMP echo reply, id 16, seq 12, length 64

Хотя с другого облака, откуда я пингую ответ не приходит:
# ping 10.132.0.195
PING 10.132.0.195 (10.132.0.195) 56(84) bytes of data.
^C
--- 10.132.0.195 ping statistics ---
12 packets transmitted, 0 received, 100% packet loss, time 11250ms


Ответить | Правка | Наверх | Cообщить модератору

2. "Соединение двух подсетей по IPsec"  –2 +/
Сообщение от ACCA (ok), 29-Янв-21, 05:58 
Просто выкинь эту дрянь и подними WireGuard. IPSec по жизни через *опу работает.
Ответить | Правка | Наверх | Cообщить модератору

3. "Соединение двух подсетей по IPsec"  +/
Сообщение от shadow_alone_ (?), 03-Фев-21, 02:40 
А твои машины то имеют маршруты ?
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

4. "Соединение двух подсетей по IPsec"  +/
Сообщение от bm_rec (ok), 04-Фев-21, 12:55 
> А твои машины то имеют маршруты ?

Да
default via 10.129.0.1 dev eth0 proto dhcp src 10.129.0.254 metric 100
10.129.0.0/24 dev eth0 proto kernel scope link src 10.129.0.254
10.129.0.1 dev eth0 proto dhcp scope link src 10.129.0.254 metric 100
10.132.0.0/20 via 10.129.0.254 dev eth0

Последний добавил руками.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру