Назад | Перейти на главную страницу

Libreswan IPSec IKEv2 не может подключиться к нескольким удаленным IP-адресам

Я уже давно бьюсь об этом и надеюсь, что кто-нибудь укажет мне правильное направление.

У меня установлено несколько туннелей IPSec, в основном от libreswan (v3.23) на CentOS до Cisco ASA. Большинство из них - IKE v1, и в этом случае, если я хочу достичь нескольких хостов на удаленной стороне, я могу иметь такую ​​формулировку в моем файле .conf:

conn test1
rightsubnet=192.168.1.111/255.255.255.255
rightsourceip=192.168.1.111
also=test_common
auto=start
conn test2
rightsubnet=192.168.1.112/255.255.255.255
rightsourceip=192.168.1.112
also=test_common
auto=start

Однако, если я использую этот синтаксис с IKEv2 (ikev2 = insist), я могу запустить test1 и достичь 192.168.1.111, но test2 тогда не будет завершен; или я могу запустить test2, и test1 не будет работать.

У меня вопрос, какой синтаксис позволит мне установить туннель IKEv2, который позволит мне подключиться как к 192.168.1.111, так и к 192.168.1.112?

Я пробовал использовать:

conn test
rightsubnet=192.168.1.96/27
leftsubnet=192.168.2.2/32
also=test_common
auto=start

Эта формулировка подводит меня к точке, где я вижу «STATE_PARENT_I2: отправлено v2I2, ожидается v2R2», но затем все, что я получаю, это «STATE_PARENT_I2: повторная передача».

Точно так же я пробовал:

conn test
rightsubnets=192.168.1.111/32,192.168.1.112/32
leftsubnet=192.168.2.2/32
also=test_common
auto=start

Использование директивы rightsubnets приводит к тому, что соединение не запускается, даже если указан единственный диапазон.

Если кто-нибудь может указать мне правильное направление, я был бы признателен.

Изменить: я обнаружил, что могу использовать директиву rightsubnets; однако он запустит только первый туннель. Синтаксис, который работает:

rightsubnets={192.168.1.111/32 192.168.1.112/32}

В этом примере адрес 192.168.1.111 доступен, но второй адрес переходит в «STATE_V2_CREATE_I: отправлено IPsec Child req wait response» и никогда не завершается.

+ Изменить leftsubnet к leftsubnets

rightsubnets={192.168.1.111/32,192.168.1.112/32}
leftsubnets={192.168.2.2/32}

Также в моем случае это работает, только если right не является %any с IKEv2.