ikev1には2つのトンネルがあり、左右のサブネットが重なります。送信されるパケットがどのトンネルに転送されるかをどのように知ることができますか? first_4a010003 それは何であり、パケットがどのトンネルに転送されるかをどのように決定しますか?私の設定は次のとおりです
# cat /etc/ipsec.conf
conn %default
keyexchange=ikev1
authby=secret
type=tunnel
include ipsec.*.conf
conn second_4a010001
left=50.50.50.11 #
leftsubnet=20.20.20.0/28
right=50.50.50.50
rightsubnet=30.30.30.0/28
esp=aes128gcm64-aes128gcm128-aes128gcm96-modp2048
lifetime=9999s
lifebytes=313032704
auto=route
conn first_4a010003
left=10.10.10.11
leftsubnet=20.20.20.0/24
right=10.10.10.10
rightsubnet=30.30.30.0/24
esp=aes128-sha1-modp2048
lifetime=8000s
lifebytes=313032704
auto=route
パケットはいつ30.30.30.30に送信され、どのトンネルに到着しますか?
# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 172.17.235.1 0.0.0.0 UG 1 0 0 eth0
10.10.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
20.20.20.0 0.0.0.0 255.255.255.0 U 0 0 0 eth5
50.50.50.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
# ip route
default via 172.17.235.1 dev eth0 proto none metric 1 notify
10.10.10.0/24 dev eth2 proto kernel scope link src 10.10.10.11
20.20.20.0/24 dev eth5 proto kernel scope link src 20.20.20.20 linkdown
50.50.50.0/24 dev eth1 proto kernel scope link src 50.50.50.11
172.17.235.0/24 dev eth0 proto kernel scope link src 172.17.235.236
答え1
これは、アウトバウンドIPsecポリシーとその優先順位によって決まります。コマンドを使用してこれらの内容を表示できますip xfrm policy。これらのポリシーをインストールすると、StrongSwanはより具体的なポリシーに高い優先順位(低い値)を使用します。たとえば、アドレス指定されたパケットは30.30.30.1そのアドレスに対して生成されたSAを使用します。セカンド_4a010001これは、接続(ソースアドレスがある限り20.20.20.0/28)/28サブネットが/24サブネットより優先順位が高いためです。
ただし、アドレス指定されたパケットは、アドレスがサブネットの一部では30.30.30.30ないため、他の接続を介して作成されたSAを使用します。/28