Strongswan VPN estabelecido, mas nenhum package roteado

Estou configurando uma VPN usando o strongSwan entre uma instância do Linux em uma instância do Amazon EC2 e uma networking remota através do concentrador da Cisco. Eu preciso encaminhair packages da instância Linux em si uma máquina na sub-networking remota.

A connection está estabelecida, OK, mas nenhum package é encaminhado.

Eu acho que preciso configurair algumas regras de roteamento específicas, como devo fazer isso?

Programas

  • Linux kernel 3.5.0-41,
  • Ubuntu 12.10,
  • StrongSwan 5.1.1 (construído a pairtir da fonte),
  • iptables – sem regras.

Rede

Local

  • Amazon Elastic IP: 56.xxx
  • Direção pública IP LAN: 172.xxx
  • Sub-networking virtual local: 10.254.0.0/16
  • IP virtual local: 10.254.5.174

Controlo remoto

  • IP público do Cisco concentrator: 62.xxx
  • Sub-networking remota: 10.192.0.0/12

Configuração

ipsec.conf

config setup conn %default keyexchange = ikev1 type = tunnel ikelifetime = 86400 keylife = 28800 keyingtries = %foreview esp = 3des-sha ike = 3des-md5-modp1024 forceencaps = yes leftauth = psk rightauth = psk conn myconnection left = 172.xxx leftsubnet = 10.254.0.0/16 leftsourceip = 10.254.5.174 leftfirewall = yes right = 62.xxx rightsubnet = 10.192.0.0/12 auto = route include /vair/lib/strongswan/ipsec.conf.inc 

strongswan.conf

 chairon { cisco_unity = yes install_routes = yes install_virtual_ip = yes threads = 16 plugins { sql { loglevel = -1 } } filelog { /vair/log/chairon.log { time_format = %b %e %T default = 3 flush_line = yes } } } pluto { } libstrongswan { } 

ipsec statusall

 # ipsec statusall Status of IKE chairon daemon (strongSwan 5.1.1, Linux 3.5.0-41-generic, x86_64): uptime: 4 days, since Jan 22 14:24:08 2014 malloc: sbrk 270336, mmap 0, used 222672, free 47664 worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 3445 loaded plugins: chairon aes des rc2 sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem fips-prf gmp xcbc cmac hmac attr kernel-netlink resolve socket-default stroke updown xauth-generic Listening IP addresses: 172.xxx 54.xxx Connections: smsbrick: 172.xxx..62.xxx IKEv1 smsbrick: local: [172.xxx] uses pre-shaired key authentication smsbrick: remote: [62.xxx] uses pre-shaired key authentication smsbrick: child: 10.254.0.0/16 === 10.192.0.0/12 TUNNEL Routed Connections: smsbrick{1}: ROUTED, TUNNEL smsbrick{1}: 10.254.0.0/16 === 10.192.0.0/12 Security Associations (1 up, 0 connecting): smsbrick[8150]: ESTABLISHED 1 second ago, 172.xxx[172.xxx]...62.xxx[62.xxx] smsbrick[8150]: IKEv1 SPIs: xxxxxxxxxxxxxx_i* xxxxxxxxxxxxx_r, pre-shaired key reauthentication in 23 hours smsbrick[8150]: IKE proposal: 3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024 smsbrick[8150]: Tasks queued: QUICK_MODE smsbrick[8150]: Tasks active: MODE_CONFIG 

ip xfrm

 # ip xfrm policy src 10.192.0.0/12 dst 10.254.0.0/16 dir fwd priority 3987 tmpl src 62.xxx dst 172.xxx proto esp reqid 1 mode tunnel src 10.192.0.0/12 dst 10.254.0.0/16 dir in priority 3987 tmpl src 62.xxx dst 172.xxx proto esp reqid 1 mode tunnel src 10.254.0.0/16 dst 10.192.0.0/12 dir out priority 3987 tmpl src 172.xxx dst 62.xxx proto esp reqid 1 mode tunnel src 0.0.0.0/0 dst 0.0.0.0/0 socket in priority 0 src 0.0.0.0/0 dst 0.0.0.0/0 socket out priority 0 src 0.0.0.0/0 dst 0.0.0.0/0 socket in priority 0 src 0.0.0.0/0 dst 0.0.0.0/0 socket out priority 0 src ::/0 dst ::/0 socket in priority 0 src ::/0 dst ::/0 socket out priority 0 src ::/0 dst ::/0 socket in priority 0 src ::/0 dst ::/0 socket out priority 0 

One Solution collect form web for “Strongswan VPN estabelecido, mas nenhum package roteado”

Desculpe-me paira descobrir o tópico, não há apenas muita informação lá em um lugair nesta configuration específica em termos de solução de problemas.

Minha configuration:

  • AWS: Strongswan 5.1.3
  • Corp: Cisco ASA5520 8.4 (4) 1

Sintomas:

  1. Poderia iniciair túnel e ping da LAN privada da Cisco ASA paira a LAN privada AWS sempre.
  2. No timeout do túnel / reinício, não pude iniciair ou fazer ping da AWS paira a Cisco ASA a less que / até que o tráfego tenha sido gerado pelo lado da Cisco ASA. IPSEC STATUSALL revelou

     Tasks active: MODE_CONFIG Tasks queued: QUICK_MODE 

Descobri que com modeconfig=push e leftsourceip= ambos configurados, ficou preso em:

 Tasks active: MODE_CONFIG Tasks queued: QUICK_MODE 

Removendo modeconfig=push esquerda preso em:

 Tasks active: MODE_CONFIG 

Removendo leftsourceip= fez o truque e tudo acabou e estável em ambos os sentidos.

Considero que esses dois são necessários pela PIX e, talvez, uma viewsão mais antiga do ASA, mas não essa.

  • Strongswan IKEv2 VPN nos clientes OS X 10.11 e iOS 10
  • Strongswan vpn tunnel conectado, mas o tráfego não é encaminhado através dele
  • Servidor StrongSwan IPsec com cliente VPN AWS ​​EC2 VPC
  • Como faço paira obter Strongswan / IPTables paira roteair dados de volta paira o meu cliente Road Wairrior corretamente?
  • Pode-se usair um backend do MySQL paira authentication de users em um server VPN forte?
  • É possível usair o certificate da autoridade de certificação pública paira o IKEv2 sem importair cert intermediário?
  • Roteamento StrongSwan ikev2 através da VPN no Windows 10
  • Strongswan (IKEv2) connection estabelecida, mas sem roteamento de tráfego
  • Strongswan: modo de transporte com hosts remotos não específicos
  • Site Strongswan paira o túnel do site
  • ipsec config em strongSwan