StrongSwan IPSEC 政策

StrongSwan IPSEC 政策

我有工作连接 A->B 和 B->C

经过三天的尝试,我需要一点帮助,但仍然无法达到预期的效果

我应该在站点 B 中设置什么才能使用 ipsec 策略从 A->C 和 C->A 获取连接?

站点 A 米克罗蒂克

本地10.10.0.0/24

公共= 179.xxx

站点 B ubuntu 服务

本地192.168.0.0/24

公共= 216.xxx

站点 C Pfsense

本地 192.168.255.0/24

公开=218.xxx

连接 B->A

    type=tunnel
    auto=add
    keyexchange=ikev2
    authby=secret
    leftid=216.x.x.x
    left=216.x.x.x
    leftsubnet=192.168.0.0/24
    right=179.x.x.x
    rightsubnet=10.10.0.0/24
    ike=aes256-sha1-modp2048!
    esp=aes256-sha1!
    aggressive=no
    keyingtries=%forever
    ikelifetime=28800s
    lifetime=3600s
    dpddelay=30s
    dpdtimeout=120s
    

连接 B->C

    type=tunnel
    auto=add
    keyexchange=ikev2
    authby=secret
    leftid=216.x.x.x
    left=216.x.x.x
    leftsubnet=192.168.0.0/24
    right=218.x.x.x
    rightsubnet=192.168.255.0/24
    ike=aes256-sha1-modp2048!
    esp=aes256-sha1!
    aggressive=no
    keyingtries=%forever
    ikelifetime=28800s
    lifetime=3600s
    dpddelay=30s
    dpdtimeout=120s
    dpdaction=restart

答案1

在这部经典中中心辐射场景,您需要协商 IPsec 策略(通过左|右子网),其中包括这些连接本地端的 A 和 C 的子网。

因此,对于 B->A 您必须进行配置leftsubnet=192.168.0.0/24,192.168.255.0/24,对于 B->C 则必须进行配置leftsubnet=192.168.0.0/24,10.10.0.0/24

在 A 和 C 上,您需要进行类似的更改,以便 A 上的远程流量选择器包括 C 的子网,反之亦然(您也可以建议 0.0.0.0/0 以使其缩小到 B 的实际远程子网)。请注意,只有连接到 B 的主机支持每个 CHILD_SA 多个子网时,这两种方法才有效(Mikrotik 可能不是这种情况)。如果没有,您必须为每个子网创建一个单独的连接(请参阅此常见问题解答条目在 StrongSwan 维基上)。

相关内容