ストロングスワン:いくつかの正しいサブネット
CentOS7にStrongswanをインストールして、Palo Altoルーターに接続しています。リモートルータの設定にアクセスできません。反対側に2つのサブネットを構成したい-1つは単一のIPのみ。私はこの設定をipsec.confに持っています:
conn %default
keyexchange=ikev2
authby=secret
conn net-net
ike=aes256-sha512-modp2048!
leftauth=psk
left=xx.xx.xx.xx
leftsubnet=10.255.1.0/24
leftfirewall=yes
rightauth=psk
right=yy.yy.yy.yy
auto=add
rightsubnet=10.250.72.0/24,192.168.149.199/32
トンネルを開始した後、pingできるのは192.168.149.199だけですが、10.250.72.0/24のホストにはできません。 10.250.72.0/24サブネットのみを構成した場合、pingが機能します。
私のバージョン:
[root@ipsec01 strongswan]# strongswan --version
Linux strongSwan U5.4.0/K3.10.0-514.6.1.el7.x86_64
マニュアルによると、カンマ区切り表記は正しいはずです。どの構成を使用する必要がありますか?
マニュアルによると、カンマ区切り表記は正しいはずです...
他のピアがCHILD_SAごとに複数のサブネットをサポートする場合です。ここではそうではない可能性があります。その場合、複数のconnセクションを定義して、別々のCHILD_SAを開始する必要があります。
conn %default
keyexchange=ikev2
authby=secret
conn net-net
ike=aes256-sha512-modp2048!
leftauth=psk
left=xx.xx.xx.xx
leftsubnet=10.255.1.0/24
leftfirewall=yes
rightauth=psk
right=yy.yy.yy.yy
auto=add
rightsubnet=10.250.72.0/24
conn net-Host
also=net-net
rightsubnet=192.168.149.199/32
「strongswan up net-net」は成功しますが、その後「strongswan up net-Host」が「受信したINVALID_SYNTAX通知エラー」で失敗します。最初にnet-Hostを設定すると、これは成功し、net-netはその後失敗します。したがって、2番目は常に失敗します...
IKE_SAごとに複数のCHILD_SAが作成される場合、このピアにも問題があるようです(ただし、その場合、INVALID_SYNTAXは奇妙なエラーです)。これを回避するには、strongswan.confのcharon.reuse_ikesaを無効にする必要があります。これにより、2番目のCHILD_SAとともに新しいIKE_SAが作成されます。
ピアごとに許可されるIKE_SAが1つだけの場合、後者は問題を引き起こす可能性があります。したがって、もう1つの可能なオプション(ピアがサポートしている場合)はrightsubnet=0.0.0.0/0(1つのconnセクションのみが必要)を設定することであり、他のピアはそれを許可するサブネットに絞り込むことができます。ただし、これは最初の試行と少し似ているため、そもそもCHILD_SAごとに複数のサブネットに問題があるピアでは機能しない可能性があります。