libreswan настроить виртуальный интерфейс для трафика ipsec

Описание:

Я учусь настраивать ipsec с помощью libreswan. Я хочу настроить VPN между двумя хостами. Я хочу, чтобы каждый хост использовал виртуальный интерфейс для своего туннеля ipsec.

Проблема:

Я настроил конфигурацию ipsec с помощью RSA и запустил туннель, однако виртуальный интерфейс не был создан.

Система:

(2) виртуальные машины RHEL 8.2

Что мне непонятно

  • Как запустить туннель? Я понимаю, что запускаю, однако нужно ли запускать эту команду в обеих системах одновременно или сначала справа, а затем слева?
  • Мои «левые» и «правые» IP-адреса — это IP-адреса, настраивающиеся на интерфейсах, которые могут маршрутизироваться друг к другу. Это верно?
  • Я чувствую, что упускаю здесь какой-то шаг, например, настройку интерфейсов и настройку libreswan для его использования?

Поиск неисправностей:

  • Я следовал этим инструкциям по настройке туннеля ipsec.
  • Я подтвердил с помощью netstat, кажется, все интерфейсы прослушивают 500 и 4500.
  • Выполнилip a, Я не вижу создания виртуального интерфейса.
  • Чтобы запустить туннель, я бегуsystemctl restart ipsec.service, затем и наконецipsec auto --up mytunnel, я вижу этот вывод
      181 "mytunnel" #1: initiating IKEv2 IKE SA
181 "mytunnel" #1: STATE_PARENT_I1: sent v2I1, expected v2R1
182 "mytunnel" #2: STATE_PARENT_I2: sent v2I2, expected v2R2 {auth=IKEv2 cipher=AES_GCM_16_256 integ=n/a prf=HMAC_SHA2_512 group=DH19}
002 "mytunnel" #2: IKEv2 mode peer ID is ID_FQDN: '@west'
003 "mytunnel" #2: Authenticated using RSA with IKEv2_AUTH_HASH_SHA1
002 "mytunnel" #2: negotiated connection [10.10.10.111-10.10.10.112:0-65535 0] -> [10.10.10.111-10.10.10.112:0-65535 0]
004 "mytunnel" #2: STATE_V2_IPSEC_I: IPsec SA established transport mode {ESP=>0xe25ebdee <0x3d8ac123 xfrm=AES_GCM_16_256-NONE NATOA=none NATD=none DPD=passive}

Моя конфигурация ipsec:

      conn mytunnel
    auto=add
    leftid=@west
    left=10.10.10.111
    leftrsasigkey=0sAwEAAbqd ... blqu1K0=
    rightid=@east
    right=10.10.10.112
    rightrsasigkey=0sAwEAAboA ... NEJbLk=
    authby=rsasig

РЕДАКТИРОВАТЬ Исправлен вывод моего журнала.

EDIT2 Я узнал, что ipsec не устанавливает виртуальный интерфейс самостоятельно. Это необходимо сделать с помощью IPIP, GRE или других методов.

  • Это полезная ссылка на различные способы настройки маршрутизации VPN.
  • Это хорошая ссылка о том, как настроить IPIP.
Источник

0 ответов

Другие вопросы по тегам