Strongswan VPN eingerichtet, aber keine Pakete weitergeleitet

8

Ich richte mit strongSwan ein VPN zwischen einer Linux-Instanz auf einer Amazon EC2-Instanz und einem Remote-Netzwerk über den Cisco-Konzentrator ein. Ich muss Pakete von der Linux-Instanz selbst an einen Computer im Remote-Subnetz weiterleiten.

Die Verbindung wird hergestellt, aber es werden keine Pakete weitergeleitet.

Ich denke, ich muss einige spezifische Routing-Regeln einrichten. Wie soll ich das machen?

Software

  • Linux-Kernel 3.5.0-41,
  • Ubuntu 12.10,
  • strongSwan 5.1.1 (erstellt aus der Quelle),
  • iptables - keine Regeln.

Netzwerk

Lokal

  • Amazon Elastic IP: 56.xxx
  • Öffentliche LAN-IP: 172.xxx
  • Lokales virtuelles Subnetz: 10.254.0.0/16
  • Lokale virtuelle IP: 10.254.5.174

Fernbedienung

  • Öffentliche IP des Cisco-Konzentrators: 62.xxx
  • Remote-Subnetz: 10.192.0.0/12

Aufbau

ipsec.conf

config setup

conn %default
    keyexchange = ikev1
    type = tunnel
    ikelifetime = 86400
    keylife = 28800
    keyingtries = %forever
    esp = 3des-sha
    ike = 3des-md5-modp1024
    forceencaps = yes
    leftauth = psk
    rightauth = psk

conn myconnection
    left = 172.x.x.x
    leftsubnet = 10.254.0.0/16
    leftsourceip = 10.254.5.174
    leftfirewall = yes
    right = 62.x.x.x
    rightsubnet = 10.192.0.0/12
    auto = route

include /var/lib/strongswan/ipsec.conf.inc

strongswan.conf

charon {
    cisco_unity             = yes
    install_routes          = yes
    install_virtual_ip      = yes
    threads                 = 16
    plugins {
        sql {
            loglevel = -1
        }
    }

    filelog {
        /var/log/charon.log {
            time_format = %b %e %T
            default = 3
            flush_line = yes
        }
    }
}

pluto {
}

libstrongswan {
}

ipsec statusall

# ipsec statusall
Status of IKE charon daemon (strongSwan 5.1.1, Linux 3.5.0-41-generic, x86_64):
  uptime: 4 days, since Jan 22 14:24:08 2014
  malloc: sbrk 270336, mmap 0, used 222672, free 47664
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 3445
  loaded plugins: charon aes des rc2 sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem fips-prf gmp xcbc cmac hmac attr kernel-netlink resolve socket-default stroke updown xauth-generic
Listening IP addresses:
  172.x.x.x
  54.x.x.x
Connections:
    smsbrick:  172.x.x.x...62.x.x.x  IKEv1
    smsbrick:   local:  [172.x.x.x] uses pre-shared key authentication
    smsbrick:   remote: [62.x.x.x] uses pre-shared key authentication
    smsbrick:   child:  10.254.0.0/16 === 10.192.0.0/12 TUNNEL
Routed Connections:
    smsbrick{1}:  ROUTED, TUNNEL
    smsbrick{1}:   10.254.0.0/16 === 10.192.0.0/12 
Security Associations (1 up, 0 connecting):
    smsbrick[8150]: ESTABLISHED 1 second ago,    172.x.x.x[172.x.x.x]...62.x.x.x[62.x.x.x]
    smsbrick[8150]: IKEv1 SPIs: xxxxxxxxxxxxxx_i* xxxxxxxxxxxxx_r, pre-shared key reauthentication in 23 hours
    smsbrick[8150]: IKE proposal: 3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024
    smsbrick[8150]: Tasks queued: QUICK_MODE 
    smsbrick[8150]: Tasks active: MODE_CONFIG

ip xfrm

# ip xfrm policy
src 10.192.0.0/12 dst 10.254.0.0/16 
        dir fwd priority 3987 
        tmpl src 62.x.x.x dst 172.x.x.x
                proto esp reqid 1 mode tunnel
src 10.192.0.0/12 dst 10.254.0.0/16 
        dir in priority 3987 
        tmpl src 62.x.x.x dst 172.x.x.x
                proto esp reqid 1 mode tunnel
src 10.254.0.0/16 dst 10.192.0.0/12 
        dir out priority 3987 
        tmpl src 172.x.x.x dst 62.x.x.x
                proto esp reqid 1 mode tunnel
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket in priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket out priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket in priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket out priority 0 
src ::/0 dst ::/0 
        socket in priority 0 
src ::/0 dst ::/0 
        socket out priority 0 
src ::/0 dst ::/0 
        socket in priority 0 
src ::/0 dst ::/0 
        socket out priority 0
routing  cisco-asa  strongswan 
titusd
quelle
2
Die Verbindung wird nicht hergestellt. Die Verbindung scheint während der Moduskonfiguration hängen zu bleiben (da Sie leftsourceip konfiguriert haben ). Überprüfen Sie das Protokoll auf beiden Seiten auf Details (höchstwahrscheinlich erwartet der Cisco-Peer keinen Austausch der Moduskonfiguration). Hast du dir schon das strongSwan Wiki angesehen ?
Ecdsa

Antworten:

3

Es tut uns leid, dass wir uns mit dem Thema befasst haben, es gibt jedoch nicht viele Informationen zu dieser bestimmten Konfiguration an einem Ort in Bezug auf die Fehlerbehebung.

Meine Konfiguration:

  • AWS: Strongswan 5.1.3
  • Corp: Cisco ASA5520 8.4 (4) 1

Symptome:

  1. Konnte Tunnel und Ping vom privaten Cisco ASA-LAN zum privaten AWS-LAN immer initiieren.

  2. Beim Tunnel-Timeout / Neustart konnte ich nur dann AWS an Cisco ASA initiieren oder pingen, wenn / bis Datenverkehr von der Cisco ASA-Seite generiert wurde. IPSEC STATUSALLaufgedeckt

    Tasks active: MODE_CONFIG
Tasks queued: QUICK_MODE

Ich fand, dass mit modeconfig=pushund leftsourceip=beide konfiguriert, es blieb stecken bei:

Tasks active: MODE_CONFIG
Tasks queued: QUICK_MODE

Beim Entfernen modeconfig=pushblieb es hängen bei:

Tasks active: MODE_CONFIG

Das Entfernen leftsourceip=hat den Trick gemacht und alles war in beide Richtungen stabil.

Ich nehme an, diese beiden werden von PIX benötigt, einer vielleicht älteren Version von ASA, aber nicht dieser.

Mike
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.