URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 5574
[ Назад ]

Исходное сообщение
"Соединение двух подсетей по IPsec"
Отправлено bm_rec , 29-Янв-21 00:41

Я хочу соединить два облака по IPsec. Для этой цели созданы по две виртуальной машины в каждом с внешними IP-адресом. Сам IPsec настроил, пинги идут между двумя точками IPsec-машин если указывать внутренние адреса. Но не могу настроить маршрутизацию на другие виртуальные машины из той же подсети. Машина с IPsec находится в той же подсети, что и остальные. Сетевой адаптер один на каждой ВМ. Нужно ли добавлять ещё один для настройки маршрутизации? ОС Ubuntu 20.04, strongSwan версии U5.8.2, ставил командой apt-get install strongswan. В sysctl указал net.ipv4.ip_forward = 1, добавил маршрут 10.132.0.0/20 via 10.129.0.254 dev eth0, файерволл выключен. Конфиг ipsec.conf с одной стороны:
config setup
        charondebug="all"
        uniqueids=yes
conn test
        ikelifetime=600m
        keylife=180m
        rekeymargin=3m
        keyingtries=3
        keyexchange=ikev2
        mobike=no
        ike=aes256gcm16-sha512-modp4096
        esp=aes256gcm16-sha512-modp8192
        authby=psk
        left="10.129.0.254"
        leftid="1.2.3.4"
        leftsubnet=10.129.0.0/24
        leftauth=psk
        right="4.3.2.1"
        rightid="4.3.2.1"
        rightsubnet=10.132.0.0/20
        rightauth=psk
        type=tunnel
        auto=start
        dpdaction=restart
        closeaction=restart
С другой стороны аналогично. Помогите, пожалуйста, настроить маршрутизацию, чтобы подсети видели друг-друга.

Содержание

Соединение двух подсетей по IPsec,bm_rec, 00:58 , 29-Янв-21
- Соединение двух подсетей по IPsec,ACCA, 05:58 , 29-Янв-21
- Соединение двух подсетей по IPsec,shadow_alone_, 02:40 , 03-Фев-21
  - Соединение двух подсетей по IPsec,bm_rec, 12:55 , 04-Фев-21

Сообщения в этом обсуждении

"Соединение двух подсетей по IPsec"
Отправлено bm_rec , 29-Янв-21 00:58

Вот что говорит tcpdump на пингуемой машине:
21:48:24.356378 IP 10.129.0.254 > 10.132.0.195: ICMP echo request, id 16, seq 12, length 64
21:48:24.356424 IP 10.132.0.195 > 10.129.0.254: ICMP echo reply, id 16, seq 12, length 64
Хотя с другого облака, откуда я пингую ответ не приходит:
# ping 10.132.0.195
PING 10.132.0.195 (10.132.0.195) 56(84) bytes of data.
^C
--- 10.132.0.195 ping statistics ---
12 packets transmitted, 0 received, 100% packet loss, time 11250ms

"Соединение двух подсетей по IPsec"
Отправлено ACCA , 29-Янв-21 05:58

Просто выкинь эту дрянь и подними WireGuard. IPSec по жизни через *опу работает.

"Соединение двух подсетей по IPsec"
Отправлено shadow_alone_ , 03-Фев-21 02:40

А твои машины то имеют маршруты ?

"Соединение двух подсетей по IPsec"
Отправлено bm_rec , 04-Фев-21 12:55

> А твои машины то имеют маршруты ?
Да
default via 10.129.0.1 dev eth0 proto dhcp src 10.129.0.254 metric 100
10.129.0.0/24 dev eth0 proto kernel scope link src 10.129.0.254
10.129.0.1 dev eth0 proto dhcp scope link src 10.129.0.254 metric 100
10.132.0.0/20 via 10.129.0.254 dev eth0
Последний добавил руками.