Strongswan VPN Didirikan tetapi tidak ada Paket yang Diarahkan

8

Saya menyiapkan VPN menggunakan strongSwan antara instance Linux pada instance Amazon EC2 dan jaringan jarak jauh melalui konsentrator Cisco-nya. Saya perlu merutekan paket dari contoh Linux itu sendiri mesin di subnet jarak jauh.

Koneksi dibuat OK, tetapi tidak ada paket yang diarahkan.

Saya pikir saya perlu mengatur beberapa aturan perutean khusus, bagaimana cara saya melakukannya?

Perangkat lunak

  • Kernel Linux 3.5.0-41,
  • Ubuntu 12.10,
  • strongSwan 5.1.1 (dibangun dari sumber),
  • iptables - tidak ada aturan.

Jaringan

Lokal

  • Amazon Elastic IP: 56.xxx
  • IP LAN yang menghadap publik: 172.xxx
  • Subnet virtual lokal: 10.254.0.0/16
  • IP virtual lokal: 10.254.5.174

Terpencil

  • IP publik dari Cisco concentrator: 62.xxx
  • Subnet jarak jauh: 10.192.0.0/12

Konfigurasi

ipsec.conf

config setup

conn %default
    keyexchange = ikev1
    type = tunnel
    ikelifetime = 86400
    keylife = 28800
    keyingtries = %forever
    esp = 3des-sha
    ike = 3des-md5-modp1024
    forceencaps = yes
    leftauth = psk
    rightauth = psk

conn myconnection
    left = 172.x.x.x
    leftsubnet = 10.254.0.0/16
    leftsourceip = 10.254.5.174
    leftfirewall = yes
    right = 62.x.x.x
    rightsubnet = 10.192.0.0/12
    auto = route

include /var/lib/strongswan/ipsec.conf.inc

strongswan.conf

charon {
    cisco_unity             = yes
    install_routes          = yes
    install_virtual_ip      = yes
    threads                 = 16
    plugins {
        sql {
            loglevel = -1
        }
    }

    filelog {
        /var/log/charon.log {
            time_format = %b %e %T
            default = 3
            flush_line = yes
        }
    }
}

pluto {
}

libstrongswan {
}

status ipsecsemua

# ipsec statusall
Status of IKE charon daemon (strongSwan 5.1.1, Linux 3.5.0-41-generic, x86_64):
  uptime: 4 days, since Jan 22 14:24:08 2014
  malloc: sbrk 270336, mmap 0, used 222672, free 47664
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 3445
  loaded plugins: charon aes des rc2 sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem fips-prf gmp xcbc cmac hmac attr kernel-netlink resolve socket-default stroke updown xauth-generic
Listening IP addresses:
  172.x.x.x
  54.x.x.x
Connections:
    smsbrick:  172.x.x.x...62.x.x.x  IKEv1
    smsbrick:   local:  [172.x.x.x] uses pre-shared key authentication
    smsbrick:   remote: [62.x.x.x] uses pre-shared key authentication
    smsbrick:   child:  10.254.0.0/16 === 10.192.0.0/12 TUNNEL
Routed Connections:
    smsbrick{1}:  ROUTED, TUNNEL
    smsbrick{1}:   10.254.0.0/16 === 10.192.0.0/12 
Security Associations (1 up, 0 connecting):
    smsbrick[8150]: ESTABLISHED 1 second ago,    172.x.x.x[172.x.x.x]...62.x.x.x[62.x.x.x]
    smsbrick[8150]: IKEv1 SPIs: xxxxxxxxxxxxxx_i* xxxxxxxxxxxxx_r, pre-shared key reauthentication in 23 hours
    smsbrick[8150]: IKE proposal: 3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024
    smsbrick[8150]: Tasks queued: QUICK_MODE 
    smsbrick[8150]: Tasks active: MODE_CONFIG

ip xfrm

# ip xfrm policy
src 10.192.0.0/12 dst 10.254.0.0/16 
        dir fwd priority 3987 
        tmpl src 62.x.x.x dst 172.x.x.x
                proto esp reqid 1 mode tunnel
src 10.192.0.0/12 dst 10.254.0.0/16 
        dir in priority 3987 
        tmpl src 62.x.x.x dst 172.x.x.x
                proto esp reqid 1 mode tunnel
src 10.254.0.0/16 dst 10.192.0.0/12 
        dir out priority 3987 
        tmpl src 172.x.x.x dst 62.x.x.x
                proto esp reqid 1 mode tunnel
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket in priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket out priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket in priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket out priority 0 
src ::/0 dst ::/0 
        socket in priority 0 
src ::/0 dst ::/0 
        socket out priority 0 
src ::/0 dst ::/0 
        socket in priority 0 
src ::/0 dst ::/0 
        socket out priority 0
titusd
sumber
2
Sambungan tidak terjalin. Koneksi tampaknya macet selama Mode Config (karena Anda mengkonfigurasi leftsourceip ), periksa log di kedua sisi untuk rincian (kemungkinan besar rekan Cisco tidak mengharapkan pertukaran Mode Config). Apakah Anda sudah melihat wiki StrongSwan ?
ecdsa

Jawaban:

3

Maaf untuk necropost pada topik, tidak ada banyak info di sana di satu tempat pada konfigurasi khusus ini dalam hal pemecahan masalah.

Konfigurasi saya:

  • AWS: Strongswan 5.1.3
  • Corp: Cisco ASA5520 8.4 (4) 1

Gejala:

  1. Dapat memulai tunnel dan ping dari Cisco ASA private LAN ke AWS private LAN selalu.
  2. Pada tunnel timeout / restart saya tidak bisa memulai atau melakukan ping dari AWS ke Cisco ASA kecuali / sampai traffic dihasilkan dari sisi Cisco ASA. IPSEC STATUSALLmengungkapkan

    Tasks active: MODE_CONFIG
    Tasks queued: QUICK_MODE
    

Saya menemukan bahwa dengan modeconfig=pushdan leftsourceip=keduanya dikonfigurasi, macet di:

Tasks active: MODE_CONFIG
Tasks queued: QUICK_MODE

Menghapus modeconfig=pushdibiarkan menempel di:

Tasks active: MODE_CONFIG

Menghapus leftsourceip=berhasil dan semuanya baik-baik saja dan stabil.

Saya menganggap keduanya dibutuhkan oleh PIX dan mungkin beberapa versi ASA yang lebih lama tetapi tidak yang satu ini.

Mike
sumber