我有工作连接 A->B 和 B->C
经过三天的尝试,我需要一点帮助,但仍然无法达到预期的效果
我应该在站点 B 中设置什么才能使用 ipsec 策略从 A->C 和 C->A 获取连接?
站点 A 米克罗蒂克
本地10.10.0.0/24
公共= 179.xxx
站点 B ubuntu 服务
本地192.168.0.0/24
公共= 216.xxx
站点 C Pfsense
本地 192.168.255.0/24
公开=218.xxx
连接 B->A
type=tunnel
auto=add
keyexchange=ikev2
authby=secret
leftid=216.x.x.x
left=216.x.x.x
leftsubnet=192.168.0.0/24
right=179.x.x.x
rightsubnet=10.10.0.0/24
ike=aes256-sha1-modp2048!
esp=aes256-sha1!
aggressive=no
keyingtries=%forever
ikelifetime=28800s
lifetime=3600s
dpddelay=30s
dpdtimeout=120s
连接 B->C
type=tunnel
auto=add
keyexchange=ikev2
authby=secret
leftid=216.x.x.x
left=216.x.x.x
leftsubnet=192.168.0.0/24
right=218.x.x.x
rightsubnet=192.168.255.0/24
ike=aes256-sha1-modp2048!
esp=aes256-sha1!
aggressive=no
keyingtries=%forever
ikelifetime=28800s
lifetime=3600s
dpddelay=30s
dpdtimeout=120s
dpdaction=restart
答案1
在这部经典中中心辐射场景,您需要协商 IPsec 策略(通过左|右子网),其中包括这些连接本地端的 A 和 C 的子网。
因此,对于 B->A 您必须进行配置leftsubnet=192.168.0.0/24,192.168.255.0/24,对于 B->C 则必须进行配置leftsubnet=192.168.0.0/24,10.10.0.0/24。
在 A 和 C 上,您需要进行类似的更改,以便 A 上的远程流量选择器包括 C 的子网,反之亦然(您也可以建议 0.0.0.0/0 以使其缩小到 B 的实际远程子网)。请注意,只有连接到 B 的主机支持每个 CHILD_SA 多个子网时,这两种方法才有效(Mikrotik 可能不是这种情况)。如果没有,您必须为每个子网创建一个单独的连接(请参阅此常见问题解答条目在 StrongSwan 维基上)。