J'essaie d'utiliser Openswan (version 2.6.37) pour connecter un VPN IPsec de mon réseau local à un site distant. Tout fonctionne bien lorsque je veux simplement me connecter à un seul sous-réseau sur le site distant. Cependant, le site distant dispose également d'un sous-réseau supplémentaire auquel je souhaite accéder.
Voici ma configuration:
conn myConn
type=tunnel
left=192.168.139.14
leftsubnet=192.168.139.0/24
leftxauthclient=yes
right=X.X.X.X
rightsubnet=172.16.1.0/24
keyexchange=ike
auth=esp
authby=secret
phase2alg=3des-sha1
pfs=yes
Quand je remplace rightsubnet
par rightsubnets
, comme ça:
rightsubnets={172.16.1.0/24 192.168.3.0/24}
... alors la connexion est créée avec succès mais seul le dernier sous-réseau de la liste est disponible. Toute tentative de cingler quoi que ce soit sur le172.16.1.0
sous réseau échoue. Si j'échange l'ordre des sous-réseaux, je peux cingler 172.16.1.X
mais je ne peux rien cingler sur l'autre sous-réseau. C'est comme si Openswan utilise uniquement le dernier sous-réseau de la liste pour créer une connexion.
Est-ce que je fais quelque chose de mal ici?
Un peu d'informations supplémentaires que j'ai négligé de mentionner (bien que je ne sois pas sûr qu'elles soient pertinentes): Mon client Openswan est derrière un routeur utilisant NAT et j'ai nat_traversal=yes
dans mon ipsec.conf
fichier.
la source
connection myConn2
), avec tout identique sauf pour lerightsubnet
. Quand j'utiliseipsec auto --up myConn
je peux cingler 172.168.1.X. Lorsque j'essaie de faire apparaître la deuxième connexion (ipsec auto --up myConn2
), je peux envoyer une requête ping à 192.168.3.X mais la première connexion s'éteint complètement.vpnc
!Réponses:
On dirait que le séparateur habituel pour les sous-réseaux multiples est une virgule , mais au moins openswan-2.6.32 fonctionne aussi avec les espaces.
Des informations intéressantes doivent être enregistrées,
/var/log/secure
qui pourraient contenir des indices sur la raison pour laquelle cela ne fonctionne pas. Publiez également la sortie deip x s sh
etip x p sh
.la source
rightsubnet*s*
) au lieu du singulier.Faites une
conn
configuration de section pour chaque sous-réseau sur les DEUX points de terminaison du tunnel. Un seul d'entre eux (le premier démarré) démarrera une négociation SA, le second (ou plus) ne fera qu'un nouveau SPD des autres sous-réseaux.la source
Si tu utilises
rightsubnets
, vous devez utiliserleftsubnets
aussi bien, nonleftsubnet
. Même s'il n'y a qu'un seul sous-réseau de ce côté. La page de manuel ipsec.conf n'explique pas très bien cela, mais elle est là.J'ai eu des problèmes similaires pendant des mois et j'ai trouvé la réponse ici: /server/571352/openswan-multiple-subnets-routing-issue
la source
Il semble qu'il y ait un bogue dans OpenSwan où la liste des sous-réseaux a besoin d'une virgule supplémentaire à la fin pour fonctionner correctement. Essayer:
Notez la virgule supplémentaire à la fin.
la source
Ça devrait être comme ça
Utilisez une virgule (
,
) et non un espace pour séparer les entrées.la source