IPsec StrongSwan nenavaze spojeni

Petr Valenta petr at jevklidu.cz
Fri Apr 29 17:58:16 CEST 2022


Mám strongswan nastavený takto a funguje to úplně bez problému a během 
výpadků se nahazuje tunel sám.

config setup
         charondebug="ike 1, knl 1, cfg 1"
         uniqueids=never
         strictcrlpolicy=yes
         # uniqueids = no


conn vps_to_fw
         type=tunnel
         auto=start
         keyexchange=ikev1
         authby=secret
         left=1.2.3.4
         leftsubnet=10.11.0.0/24
         right=5.6.7.8
         rightsubnet=192.168.0.0/24
         ike=aes256-sha1-modp1024!
         esp=aes256-sha1!
         aggressive=no
         keyingtries=%forever
         ikelifetime=28800s
         lifetime=3600s
         dpddelay=30s
         dpdtimeout=120s
         dpdaction=restart

Konfigurace výše je na linuxovém stroji, protější strana je starý 
OpenBSD stroj, kde používám nativní ipsec implementaci.

Další příklad mám z jiného linuxového stoje a protějšek je mikrotik za 
NATem.

conn vpn-mikrotik-ikev2
         auto=add
         keyexchange=ikev2
         dpdaction=clear
         leftid=11.22.33.44
         leftcert=server-cert.pem
         leftsubnet=0.0.0.0/0
         leftsendcert=always # iOS clients need this
         right=%any
         rightsendcert=never
         rightauth=eap-mschapv2
         rightsubnet=192.168.10.0/24
         eap_identity=%identity

Už je to dlouho, co jsem to nastavoval, ale tuším, že mi taky auto=route 
nefungovalo. Obě tyto varianty běží už roky a nahazují se samy, nemusím 
s tím nic dělat.

Snad to pomůže.

Petr


Dne 28. 04. 22 v 19:23 Miroslav Lachman napsal(a):
> Nejsem si uplne jisty, jestli je tenhle problem specificky pro FreeBSD, 
> protoze jiny system nemam. Kazdopadne se moje pozorovani rozchazi s tim, 
> co tvrdi dokumentace a ruzna HowTo.
> 
> Mam stroj, ktery se pres IPSec pripojuje do nekolika dalsich siti. 
> Konfigurace je pomerne jednoducha a "funkcni" za predpokladu, ze spojeni 
> rucne nahodim prikazem "ipsec up conn1", "ipsec up conn2" atd.
> 
> conn conn1
>      keyexchange=ikev2
>      ikelifetime=3h
>      ike=aes256-sha256-ecp384
>      esp=aes256-sha256-ecp384
>      lifetime=1h
>      authby=secret
>      type=tunnel
>      left=AA.BB.CC.DD
>      leftid=AA.BB.CC.DD
>      leftsubnet=10.11.12.13/24
>      right=MM.NN.OO.PP
>      rightid=MM.NN.OO.PP
>      rightsubnet=192.168.5.60
>      #auto=start
>      auto=route
>      dpdaction=restart
>      dpddelay=30s
>      closeaction=restart
> 
> Podobne vypadaji i ostatni spojeni, ale maji jine IP adresy a ike / esp 
> algoritmy.
> 
> Muj problem je, ze pokud tam mam nastaveno auto=route, tak by to podle 
> dokumentace melo nainstalovat kernal trap a pokud system zachyti nejaky 
> trafik do te destinace a spojeni jeste neni navazane, tak ho navaze.
> https://wiki.strongswan.org/projects/strongswan/wiki/ConnSection
> U me se ale nic nestane, spojeni se nenavaze, ping z pocitace v LAN na 
> ten vzdaleny konec neprojde.
> Pokud spustim "ipsec up conn1", tak se spojeni navaze a packety zacnou z 
> LAN prochazet.
> 
> Pokud tam ale nastavim auto=start a reloadnu konfiguraci "ipsec reload", 
> tak se okamzite navaze spojeni a muzu z LAN pingat ten vzdaleny host.
> 
> Puvodne jsem to v konfiguraci mel nastavene jako auto=start, ale pokud 
> dojde k ukonceni spojeni z protejsi strany, ztrate konektivity, nebo 
> jinym problemum, tak uz se spojeni samo neobnovi. Zda se, ze na to 
> nefunguje ani dpdaction=restart.
> 
> Nasel jsem treba i ticket https://wiki.strongswan.org/issues/825 nebo 
> ServerFault
> https://serverfault.com/questions/556885/using-strongswan-whats-the-difference-between-auto-add-and-auto-start 
> 
> 
> kde se pise:
> 
> What usually works best is to use auto=route for your connection. The 
> kernel will (re-)trigger the connection if it failed for whatever 
> reason, and ensures that no traffic passes unencrypted
> 
> A tak me napada, jestli nemam necospatne, nebo jestli tohle chovani neni 
> zalezitosti Linux vs FreeBSD? Klidne si dovedu predstavit, ze na 
> Linuxovem kernelu se tohle muze chovat jinak, nez na FreeBSD.
> 
> Provozujete nekdo IPsec se StrongSwan na FreeBSD a funguje vam 
> auto=route tak, jak je popisovano?
> 
> Mirek


More information about the Users-l mailing list