Ich versuche, mit Openswan (Version 2.6.37) ein IPsec-VPN von meinem lokalen Netzwerk zu einem Remote-Standort zu verbinden. Alles funktioniert einwandfrei, wenn ich nur eine Verbindung zu einem einzelnen Subnetz am Remotestandort herstellen möchte. Der Remote-Standort verfügt jedoch auch über ein zusätzliches Subnetz, auf das ich zugreifen möchte.
Das ist meine Konfiguration:
conn myConn
type=tunnel
left=192.168.139.14
leftsubnet=192.168.139.0/24
leftxauthclient=yes
right=X.X.X.X
rightsubnet=172.16.1.0/24
keyexchange=ike
auth=esp
authby=secret
phase2alg=3des-sha1
pfs=yes
Wenn ich ersetzen rightsubnet
mit rightsubnets
, etwa so:
rightsubnets={172.16.1.0/24 192.168.3.0/24}
... dann wird die Verbindung erfolgreich hergestellt, aber nur das letzte Subnetz in der Liste ist verfügbar. Alle Ping-Versuche im 172.16.1.0
Subnetz schlagen fehl. Wenn ich die Reihenfolge der Subnetze vertausche 172.16.1.X
, kann ich pingen, aber im anderen Subnetz kann ich nichts pingen. Es ist, als würde Openswan nur das letzte Subnetz in der Liste verwenden, um eine Verbindung herzustellen.
Mache ich hier etwas falsch?
Ein paar zusätzliche Informationen, die ich versäumt habe zu erwähnen (obwohl ich nicht sicher bin, ob sie relevant sind): Mein Openswan-Client befindet sich hinter einem Router, der NAT verwendet, und ich habe sie nat_traversal=yes
in meiner ipsec.conf
Datei.
quelle
connection myConn2
) zu duplizieren , mit Ausnahme derrightsubnet
. Wenn ich benutze,ipsec auto --up myConn
kann ich 172.168.1.X anpingen. Wenn ich versuche, die zweite Verbindungipsec auto --up myConn2
aufzurufen ( ), kann ich 192.168.3.X anpingen, aber die erste Verbindung wird vollständig unterbrochen.vpnc
!Antworten:
Sieht so aus, als wäre das übliche Trennzeichen für mehrere Subnetze ein Komma , aber mindestens openswan-2.6.32 funktioniert auch mit Leerzeichen.
Es sollten interessante Informationen protokolliert werden,
/var/log/secure
die Hinweise darauf enthalten können, warum sie nicht funktionieren. Veröffentlichen Sie auch die Ausgabe vonip x s sh
undip x p sh
.quelle
rightsubnet*s*
) und nicht im Singular steht.Machen
conn
Abschnitt Konfiguration für die einzelnen Subnetze auf die beiden Endpunkte des Tunnels. Nur einer von ihnen (der erste hat begonnen) startet eine SA-Aushandlung, der zweite (oder mehrere) erstellt nur eine neue SPD der weiteren Subnetze.quelle
Wenn Sie verwenden
rightsubnets
, müssen Sie auch verwendenleftsubnets
, nichtleftsubnet
. Auch wenn es auf dieser Seite nur ein Subnetz gibt. Die ipsec.conf-Manpage erklärt dies nicht besonders gut, aber sie ist da.Ich hatte die gleichen Probleme seit Monaten und habe gerade die Antwort hier gefunden: /server/571352/openswan-multiple-subnets-routing-issue
quelle
Es sieht so aus, als ob es einen Fehler in OpenSwan gibt, bei dem die Subnetzliste am Ende ein zusätzliches Komma benötigt, um korrekt zu funktionieren. Versuchen:
Beachten Sie das zusätzliche Komma am Ende.
quelle
Es sollte so sein
Verwenden Sie ein Komma (
,
) und kein Leerzeichen, um Einträge zu trennen.quelle