Raspberry Pi 2にIPsecゲートウェイ(strongSwan)を設定しようとしています。
PiはすでにプライベートIPアドレスを使用してLAN上で多くのサービスを提供しています。
最初は、同じインターフェイス()にパブリックIPアドレスを追加し、eth0この新しいアドレスでStrongSwan SAを有効にしてIPsecゲートウェイに切り替えました。これはうまくいき、pcryptモジュールを有効にしたときに約80Mbpsの復号スループットを得ることができました。これはあらゆる点で本当に良い数値です。
その後、StrongSwanエントリを別々のネットワークネームスペースに分離することにしました。私はこれを行い、ip netns add vpnにmacvlanデバイスを作成し、eth0それをvpn名前空間に追加しました。それから走り、ip netns exec vpn ipsec startすべてが正常に戻りました。
しかし、pcrypt名前空間内にはもはや活動がないように見え、スループットは約25Mbpsに低下します。私は通常、以下をpcrypt使用して有効にします。crconfこの指示。名前空間内で呼び出すと、ネットワークリンクエラーが原因で失敗し続けます。実行すると、strace crconf次の宝石が提供されます。
socket(PF_NETLINK, SOCK_RAW, NETLINK_CRYPTO) = 3
setsockopt(3, SOL_SOCKET, SO_SNDBUF, [32768], 4) = 0
setsockopt(3, SOL_SOCKET, SO_RCVBUF, [1048576], 4) = 0
bind(3, {sa_family=AF_NETLINK, pid=0, groups=00000000}, 12) = 0
getsockname(3, {sa_family=AF_NETLINK, pid=997, groups=00000000}, [12]) = 0
send(3, "\24\0\0\0\23\0\1\3U\212\327V\0\0\0\0\0\0\0\0", 20, 0) = -1 ECONNREFUSED (Connection refused)
NETLINK_CRYPTOしたがって、カーネルはネットワークネームスペース内からソケットへの接続を拒否します。
NETLINK_CRYPTOQ:私のネットワークネームスペースからの接続を許可するにはどうすればよいですか?