IPsec StrongSwan nenavaze spojeni
Petr Valenta
petr at jevklidu.cz
Fri Apr 29 17:58:16 CEST 2022
Mám strongswan nastavený takto a funguje to úplně bez problému a během
výpadků se nahazuje tunel sám.
config setup
charondebug="ike 1, knl 1, cfg 1"
uniqueids=never
strictcrlpolicy=yes
# uniqueids = no
conn vps_to_fw
type=tunnel
auto=start
keyexchange=ikev1
authby=secret
left=1.2.3.4
leftsubnet=10.11.0.0/24
right=5.6.7.8
rightsubnet=192.168.0.0/24
ike=aes256-sha1-modp1024!
esp=aes256-sha1!
aggressive=no
keyingtries=%forever
ikelifetime=28800s
lifetime=3600s
dpddelay=30s
dpdtimeout=120s
dpdaction=restart
Konfigurace výše je na linuxovém stroji, protější strana je starý
OpenBSD stroj, kde používám nativní ipsec implementaci.
Další příklad mám z jiného linuxového stoje a protějšek je mikrotik za
NATem.
conn vpn-mikrotik-ikev2
auto=add
keyexchange=ikev2
dpdaction=clear
leftid=11.22.33.44
leftcert=server-cert.pem
leftsubnet=0.0.0.0/0
leftsendcert=always # iOS clients need this
right=%any
rightsendcert=never
rightauth=eap-mschapv2
rightsubnet=192.168.10.0/24
eap_identity=%identity
Už je to dlouho, co jsem to nastavoval, ale tuším, že mi taky auto=route
nefungovalo. Obě tyto varianty běží už roky a nahazují se samy, nemusím
s tím nic dělat.
Snad to pomůže.
Petr
Dne 28. 04. 22 v 19:23 Miroslav Lachman napsal(a):
> Nejsem si uplne jisty, jestli je tenhle problem specificky pro FreeBSD,
> protoze jiny system nemam. Kazdopadne se moje pozorovani rozchazi s tim,
> co tvrdi dokumentace a ruzna HowTo.
>
> Mam stroj, ktery se pres IPSec pripojuje do nekolika dalsich siti.
> Konfigurace je pomerne jednoducha a "funkcni" za predpokladu, ze spojeni
> rucne nahodim prikazem "ipsec up conn1", "ipsec up conn2" atd.
>
> conn conn1
> keyexchange=ikev2
> ikelifetime=3h
> ike=aes256-sha256-ecp384
> esp=aes256-sha256-ecp384
> lifetime=1h
> authby=secret
> type=tunnel
> left=AA.BB.CC.DD
> leftid=AA.BB.CC.DD
> leftsubnet=10.11.12.13/24
> right=MM.NN.OO.PP
> rightid=MM.NN.OO.PP
> rightsubnet=192.168.5.60
> #auto=start
> auto=route
> dpdaction=restart
> dpddelay=30s
> closeaction=restart
>
> Podobne vypadaji i ostatni spojeni, ale maji jine IP adresy a ike / esp
> algoritmy.
>
> Muj problem je, ze pokud tam mam nastaveno auto=route, tak by to podle
> dokumentace melo nainstalovat kernal trap a pokud system zachyti nejaky
> trafik do te destinace a spojeni jeste neni navazane, tak ho navaze.
> https://wiki.strongswan.org/projects/strongswan/wiki/ConnSection
> U me se ale nic nestane, spojeni se nenavaze, ping z pocitace v LAN na
> ten vzdaleny konec neprojde.
> Pokud spustim "ipsec up conn1", tak se spojeni navaze a packety zacnou z
> LAN prochazet.
>
> Pokud tam ale nastavim auto=start a reloadnu konfiguraci "ipsec reload",
> tak se okamzite navaze spojeni a muzu z LAN pingat ten vzdaleny host.
>
> Puvodne jsem to v konfiguraci mel nastavene jako auto=start, ale pokud
> dojde k ukonceni spojeni z protejsi strany, ztrate konektivity, nebo
> jinym problemum, tak uz se spojeni samo neobnovi. Zda se, ze na to
> nefunguje ani dpdaction=restart.
>
> Nasel jsem treba i ticket https://wiki.strongswan.org/issues/825 nebo
> ServerFault
> https://serverfault.com/questions/556885/using-strongswan-whats-the-difference-between-auto-add-and-auto-start
>
>
> kde se pise:
>
> What usually works best is to use auto=route for your connection. The
> kernel will (re-)trigger the connection if it failed for whatever
> reason, and ensures that no traffic passes unencrypted
>
> A tak me napada, jestli nemam necospatne, nebo jestli tohle chovani neni
> zalezitosti Linux vs FreeBSD? Klidne si dovedu predstavit, ze na
> Linuxovem kernelu se tohle muze chovat jinak, nez na FreeBSD.
>
> Provozujete nekdo IPsec se StrongSwan na FreeBSD a funguje vam
> auto=route tak, jak je popisovano?
>
> Mirek
More information about the Users-l
mailing list