VPN Strongswan établi mais aucun paquet acheminé

8

J'installe un VPN utilisant strongSwan entre une instance Linux sur une instance Amazon EC2 et un réseau distant via son concentrateur Cisco. J'ai besoin de router les paquets de l'instance Linux elle-même une machine dans le sous-réseau distant.

La connexion est établie OK, mais aucun paquet n'est routé.

Je pense que je dois configurer des règles de routage spécifiques, comment dois-je procéder?

Logiciel

  • Noyau Linux 3.5.0-41,
  • Ubuntu 12.10,
  • strongSwan 5.1.1 (construit à partir de la source),
  • iptables - pas de règles.

Réseau

Local

  • Amazon Elastic IP: 56.xxx
  • IP LAN public: 172.xxx
  • Sous-réseau virtuel local: 10.254.0.0/16
  • IP virtuelle locale: 10.254.5.174

Éloigné

  • IP publique du concentrateur Cisco: 62.xxx
  • Sous-réseau distant: 10.192.0.0/12

Configuration

ipsec.conf

config setup

conn %default
    keyexchange = ikev1
    type = tunnel
    ikelifetime = 86400
    keylife = 28800
    keyingtries = %forever
    esp = 3des-sha
    ike = 3des-md5-modp1024
    forceencaps = yes
    leftauth = psk
    rightauth = psk

conn myconnection
    left = 172.x.x.x
    leftsubnet = 10.254.0.0/16
    leftsourceip = 10.254.5.174
    leftfirewall = yes
    right = 62.x.x.x
    rightsubnet = 10.192.0.0/12
    auto = route

include /var/lib/strongswan/ipsec.conf.inc

strongswan.conf

charon {
    cisco_unity             = yes
    install_routes          = yes
    install_virtual_ip      = yes
    threads                 = 16
    plugins {
        sql {
            loglevel = -1
        }
    }

    filelog {
        /var/log/charon.log {
            time_format = %b %e %T
            default = 3
            flush_line = yes
        }
    }
}

pluto {
}

libstrongswan {
}

ipsec statusall

# ipsec statusall
Status of IKE charon daemon (strongSwan 5.1.1, Linux 3.5.0-41-generic, x86_64):
  uptime: 4 days, since Jan 22 14:24:08 2014
  malloc: sbrk 270336, mmap 0, used 222672, free 47664
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 3445
  loaded plugins: charon aes des rc2 sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem fips-prf gmp xcbc cmac hmac attr kernel-netlink resolve socket-default stroke updown xauth-generic
Listening IP addresses:
  172.x.x.x
  54.x.x.x
Connections:
    smsbrick:  172.x.x.x...62.x.x.x  IKEv1
    smsbrick:   local:  [172.x.x.x] uses pre-shared key authentication
    smsbrick:   remote: [62.x.x.x] uses pre-shared key authentication
    smsbrick:   child:  10.254.0.0/16 === 10.192.0.0/12 TUNNEL
Routed Connections:
    smsbrick{1}:  ROUTED, TUNNEL
    smsbrick{1}:   10.254.0.0/16 === 10.192.0.0/12 
Security Associations (1 up, 0 connecting):
    smsbrick[8150]: ESTABLISHED 1 second ago,    172.x.x.x[172.x.x.x]...62.x.x.x[62.x.x.x]
    smsbrick[8150]: IKEv1 SPIs: xxxxxxxxxxxxxx_i* xxxxxxxxxxxxx_r, pre-shared key reauthentication in 23 hours
    smsbrick[8150]: IKE proposal: 3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024
    smsbrick[8150]: Tasks queued: QUICK_MODE 
    smsbrick[8150]: Tasks active: MODE_CONFIG

ip xfrm

# ip xfrm policy
src 10.192.0.0/12 dst 10.254.0.0/16 
        dir fwd priority 3987 
        tmpl src 62.x.x.x dst 172.x.x.x
                proto esp reqid 1 mode tunnel
src 10.192.0.0/12 dst 10.254.0.0/16 
        dir in priority 3987 
        tmpl src 62.x.x.x dst 172.x.x.x
                proto esp reqid 1 mode tunnel
src 10.254.0.0/16 dst 10.192.0.0/12 
        dir out priority 3987 
        tmpl src 172.x.x.x dst 62.x.x.x
                proto esp reqid 1 mode tunnel
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket in priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket out priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket in priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket out priority 0 
src ::/0 dst ::/0 
        socket in priority 0 
src ::/0 dst ::/0 
        socket out priority 0 
src ::/0 dst ::/0 
        socket in priority 0 
src ::/0 dst ::/0 
        socket out priority 0
routing  cisco-asa  strongswan 
titusd
source
2
La connexion n'est pas établie. La connexion semble être bloquée pendant Mode Config (parce que vous avez configuré leftsourceip ), consultez le journal des deux côtés pour plus de détails (très probablement, l'homologue Cisco ne s'attend pas à un échange Mode Config). Avez-vous déjà consulté le wiki strongSwan ?
ecdsa

Réponses:

3

Désolé de necropost sur le sujet, il n'y a tout simplement pas beaucoup d'informations sur cette configuration particulière en termes de dépannage.

Ma config:

  • AWS: Strongswan 5.1.3
  • Corp: Cisco ASA5520 8.4 (4) 1

Symptômes:

  1. Pourrait toujours lancer le tunnel et le ping du LAN privé Cisco ASA vers le LAN privé AWS.

  2. Lors de l'expiration / redémarrage du tunnel, je ne pouvais pas lancer ou exécuter de ping depuis AWS vers Cisco ASA à moins que / jusqu'à ce que le trafic soit généré du côté Cisco ASA. IPSEC STATUSALLrévélé

    Tasks active: MODE_CONFIG
Tasks queued: QUICK_MODE

J'ai trouvé qu'avec modeconfig=pushet les leftsourceip=deux configurés, il était bloqué:

Tasks active: MODE_CONFIG
Tasks queued: QUICK_MODE

Retrait modeconfig=pushlaissé coincé à:

Tasks active: MODE_CONFIG

La suppression a leftsourceip=fait l'affaire et tout était en place et stable dans les deux sens.

Je suppose que ces deux sont nécessaires à PIX et peut-être à une ancienne version d'ASA, mais pas à celle-ci.

Mike
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.