libreswan 为 ipsec 流量配置虚拟接口

描述：

我正在学习如何使用 libreswan 配置 ipsec。我想在两台主机之间设置主机到主机的 vpn。我希望每台主机都为其 ipsec 隧道使用虚拟接口。

问题：

我使用 RSA 设置了我的 ipsec 配置并启动了隧道，但没有构建虚拟接口。

系统：

（2）RHEL 8.2 虚拟机

我不清楚什么

• 我如何启动隧道？我知道我运行了ipsec auto --up mytunnel，但是这个命令是否需要同时在两个系统上运行，还是先在右侧系统上运行，然后再在左侧系统上运行？
• 我的“左”和“右” IP 是在可以相互路由的接口上配置的 IP 地址。这样正确吗？
• 我觉得我这里缺少了一个步骤，比如配置接口和设置 libreswan 以便可以使用它？

故障排除：

• 我跟着这些说明关于如何设置 ipsec 隧道。
• 我用 netstat 确认，似乎所有接口都在监听 500 和 4500。
• 执行后ip a，我看不到正在创建的虚拟接口。
• 为了启动隧道，我运行systemctl restart ipsec.service，然后ipsec auto --up mytunnel，最后ipsec auto --up mytunnel，我看到这个输出

181 "mytunnel" #1: initiating IKEv2 IKE SA
181 "mytunnel" #1: STATE_PARENT_I1: sent v2I1, expected v2R1
182 "mytunnel" #2: STATE_PARENT_I2: sent v2I2, expected v2R2 {auth=IKEv2 cipher=AES_GCM_16_256 integ=n/a prf=HMAC_SHA2_512 group=DH19}
002 "mytunnel" #2: IKEv2 mode peer ID is ID_FQDN: '@west'
003 "mytunnel" #2: Authenticated using RSA with IKEv2_AUTH_HASH_SHA1
002 "mytunnel" #2: negotiated connection [10.10.10.111-10.10.10.112:0-65535 0] -> [10.10.10.111-10.10.10.112:0-65535 0]
004 "mytunnel" #2: STATE_V2_IPSEC_I: IPsec SA established transport mode {ESP=>0xe25ebdee <0x3d8ac123 xfrm=AES_GCM_16_256-NONE NATOA=none NATD=none DPD=passive}

我的 ipsec 配置：

conn mytunnel
    auto=add
    leftid=@west
    left=10.10.10.111
    leftrsasigkey=0sAwEAAbqd ... blqu1K0=
    rightid=@east
    right=10.10.10.112
    rightrsasigkey=0sAwEAAboA ... NEJbLk=
    authby=rsasig

编辑 修复了我的日志输出。

编辑2 我了解到 ipsec 不会自行设置虚拟接口。这需要通过 IPIP、GRE 或其他方法来完成。

• 这是一个关于设置 VPN 路由的不同方法的有用链接。
• 这是关于如何设置 IPIP 的良好链接。