Strongswan: 複数の正しいサブネット

Strongswan: 複数の正しいサブネット

Palo Altoルータに接続されたCentOS7にStrongswanをインストールしました。リモートルーターの設定にアクセスできません。反対側に2つのサブネット(1つのIPのみを持つサブネット)を設定したいと思います。 ipsec.conf には次の設定があります。

conn %default
        keyexchange=ikev2
        authby=secret

conn net-net
        ike=aes256-sha512-modp2048!
        leftauth=psk
        left=xx.xx.xx.xx
        leftsubnet=10.255.1.0/24
        leftfirewall=yes
        rightauth=psk
        right=yy.yy.yy.yy
        auto=add
        rightsubnet=10.250.72.0/24,192.168.149.199/32

トンネルを開始した後は、192.168.149.199にのみpingできますが、10.250.72.0/24のホストにはpingできません。 10.250.72.0/24 サブネットのみを構成すると、ping は正常に機能します。

私のバージョン:

[root@ipsec01 strongswan]# strongswan --version
Linux strongSwan U5.4.0/K3.10.0-514.6.1.el7.x86_64

マニュアルによれば、カンマで区切られた記号は正確でなければなりません。どの構成を使用する必要がありますか?

答え1

このマニュアルによれば、カンマで区切られた記号は正確でなければなりません。

これは、他のピアがCHILD_SAごとに複数のサブネットをサポートしている場合です。ここではそうではないかもしれません。その場合、別のCHILD_SAを開始するには、複数のconnセクションを定義する必要があります。

conn %default
        keyexchange=ikev2
        authby=secret

conn net-net
        ike=aes256-sha512-modp2048!
        leftauth=psk
        left=xx.xx.xx.xx
        leftsubnet=10.255.1.0/24
        leftfirewall=yes
        rightauth=psk
        right=yy.yy.yy.yy
        auto=add
        rightsubnet=10.250.72.0/24

conn net-host
        also=net-net
        rightsubnet=192.168.149.199/32

「strongswan up net-net」は成功しましたが、「INVALID_SYNTAX 通知エラーの受信」で「strongswan up net-host」が失敗します。 net-host を最初に設定すると成功し、net-net は失敗します。だから2番目は常に失敗します...

IKE_SAごとに複数のCHILD_SAが生成されても、ピアに問題があるようです(しかし、この場合、INVALID_SYNTAXは奇妙なエラーです)。これを防ぐには、 charon.reuse_ikesaStrongswan.confで無効にすることができます。このようにして、第2のCHILD_SAと共に新しいIKE_SAが生成される。

後者は、ピアごとに1つのIKE_SAしか許可されていない場合、問題を引き起こす可能性があります。したがって、もう1つの可能なオプション(ピアがサポートしている場合)は、設定rightsubnet=0.0.0.0/0(接続部分のみが必要)です。その後、他のピアはそれを可能にするサブネットに範囲を狭めることができます。ただし、これは最初の試みと多少似ているため、最初にCHILD_SA問題ごとに複数のサブネットを持つピアでは機能しない可能性があります。

関連情報