Palo Altoルータに接続されたCentOS7にStrongswanをインストールしました。リモートルーターの設定にアクセスできません。反対側に2つのサブネット(1つのIPのみを持つサブネット)を設定したいと思います。 ipsec.conf には次の設定があります。
conn %default
keyexchange=ikev2
authby=secret
conn net-net
ike=aes256-sha512-modp2048!
leftauth=psk
left=xx.xx.xx.xx
leftsubnet=10.255.1.0/24
leftfirewall=yes
rightauth=psk
right=yy.yy.yy.yy
auto=add
rightsubnet=10.250.72.0/24,192.168.149.199/32
トンネルを開始した後は、192.168.149.199にのみpingできますが、10.250.72.0/24のホストにはpingできません。 10.250.72.0/24 サブネットのみを構成すると、ping は正常に機能します。
私のバージョン:
[root@ipsec01 strongswan]# strongswan --version
Linux strongSwan U5.4.0/K3.10.0-514.6.1.el7.x86_64
マニュアルによれば、カンマで区切られた記号は正確でなければなりません。どの構成を使用する必要がありますか?
答え1
このマニュアルによれば、カンマで区切られた記号は正確でなければなりません。
これは、他のピアがCHILD_SAごとに複数のサブネットをサポートしている場合です。ここではそうではないかもしれません。その場合、別のCHILD_SAを開始するには、複数のconnセクションを定義する必要があります。
conn %default
keyexchange=ikev2
authby=secret
conn net-net
ike=aes256-sha512-modp2048!
leftauth=psk
left=xx.xx.xx.xx
leftsubnet=10.255.1.0/24
leftfirewall=yes
rightauth=psk
right=yy.yy.yy.yy
auto=add
rightsubnet=10.250.72.0/24
conn net-host
also=net-net
rightsubnet=192.168.149.199/32
「strongswan up net-net」は成功しましたが、「INVALID_SYNTAX 通知エラーの受信」で「strongswan up net-host」が失敗します。 net-host を最初に設定すると成功し、net-net は失敗します。だから2番目は常に失敗します...
IKE_SAごとに複数のCHILD_SAが生成されても、ピアに問題があるようです(しかし、この場合、INVALID_SYNTAXは奇妙なエラーです)。これを防ぐには、 charon.reuse_ikesa
Strongswan.confで無効にすることができます。このようにして、第2のCHILD_SAと共に新しいIKE_SAが生成される。
後者は、ピアごとに1つのIKE_SAしか許可されていない場合、問題を引き起こす可能性があります。したがって、もう1つの可能なオプション(ピアがサポートしている場合)は、設定rightsubnet=0.0.0.0/0
(接続部分のみが必要)です。その後、他のピアはそれを可能にするサブネットに範囲を狭めることができます。ただし、これは最初の試みと多少似ているため、最初にCHILD_SA問題ごとに複数のサブネットを持つピアでは機能しない可能性があります。