Доброго дня, коллеги.Возникла проблема при конфигурировании сервиса VPN OpenSwan для site-to-site взаимодействия.
Суть проблемы: Стартует демон ipsec, создаётся адаптер, но у адаптера нет атрибутов IP, соответственно, нормальная работа с адаптером невозможна.
Вот что показывает ifconfig:
[root@localhost ~]# ifconfig -a
ip_vti0: flags=128<NOARP> mtu 1480
tunnel txqueuelen 1 (IPIP Tunnel)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
Конфигурационные файлы OpenSwan:
cat /etc/ipsec.conf
config setup
plutodebug=all
plutostderrlog=/var/log/pluto.log
protostack=netkey
nat_traversal=yes
oe=offconn MY_CONN
type=tunnel ## указываем что тип соединения туннель ##
auto=start ## автоматически поднимать соединение ##
authby=secret ## указываем что авторизоваться фразой ##
pfs=no
ikelifetime=86400s
keyexchange=ike
ike=aes128-sha2_256;dh19
phase2=esp
esp=aes128-sha2_256
##Описываем настройки локальной стороны ##
left=X.X.X.X ## Указываем внешний ip адрес ##
leftsourceip=X.X.X.X
leftsubnet=X.X.X.X/32 ## указываем внутреннюю подсеть ##
leftnexthop=чfaultroute
leftid=@left
##Описываем настройки удаленной стороны ##
right=Y.Y.Y.Y
rightsubnets={172.22.22.0/24}
rightnexthop=чfaultroute
rightid=@right
cat /etc/ipsec.secrets
#siteA-public-IP siteB-public-IP: PSK "pre-shared-key"
X.X.X.X Y.Y.Y.Y : PSK "XXXXXXXXXXXXXX"
На сервере настроен роутинг:
iptables -t nat -A POSTROUTING -s X.X.X.X -d 172.22.22.0/24 -j SNAT --to 172.27.218.155
Версии ОС и OpenSwan
[root@localhost ~]# uname -a
Linux localhost.localdomain 3.10.0-693.el7.x86_64 #1 SMP Tue Aug 22 21:09:27 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux
[root@localhost ~]# ipsec --version
Linux Libreswan 3.23 (netkey) on 3.10.0-693.el7.x86_64
[root@localhost ~]#
Вопрос: почему у созданного адаптера нет атрибутов IP?
Логи и ipsec status могу выложить по требованию, ибо много места занимают.
Вариант для распечатки
