Я создаю туннель IPSec от Linux-сервера к брандмауэру SonicWall со стандартной прошивкой. Кажется, что туннель создается нормально, но пакеты из Linux-сервера в удаленную сеть не маршрутизируются в туннель. Пакеты из удаленной сети вроде в порядке. Попытки выполнить эхо-запрос из Linux-сервера в защищенную удаленную сеть направляются через обычную таблицу маршрутизации.
Если посмотреть на таблицу маршрутизации и кеш, то там нет записей для 192.168.1.0 (удаленная сеть). Я ожидаю от документации, что туннельная политика вставит маршрут.
Любые идеи принимаются.
Спасибо, Брэд
Вот мой сценарий conf:
#!/sbin/setkey -f
# Configuration for 172.16.89.100
# Flush the SAD and SPD
flush;
spdflush;
add 172.16.89.100 172.20.241.2 ah 0x200 -m tunnel -A hmac-sha1
0xredacted00000000000000000000000000000000;
add 172.20.241.2 172.16.89.100 ah 0x300 -m tunnel -A hmac-sha1
0xredacted00000000000000000000000000000000;
add 172.16.89.100 172.20.241.2 esp 0x201 -m tunnel -E 3des-cbc
0xredacted0000000000000000000000000000000000000000;
add 172.20.241.2 172.16.89.100 esp 0x301 -m tunnel -E 3des-cbc
0xredacted0000000000000000000000000000000000000000;
# Security policies
spdadd 10.114.89.0/24 192.168.1.0/24 any -P out ipsec
esp/tunnel/172.16.89.100-172.20.241.2/require
ah/tunnel/172.16.89.100-172.20.241.2/require;
spdadd 192.168.1.0/24 10.114.89.0/24 any -P in ipsec
esp/tunnel/172.20.241.2-172.16.89.100/require
ah/tunnel/172.20.241.2-172.16.89.100/require;
#Forward Policy
#DOH! iptools > 0.5 do this automatically.
#spdadd 192.168.1.0/24 10.114.89.0/24 any -P fwd ipsec
# esp/tunnel/172.20.241.2-172.16.89.100/require
# ah/tunnel/172.20.241.2-172.16.89.100/require;
1) Особые маршруты не нужны. Если вы можете общаться без IPSec, вы должны быть в хорошей форме.
2) Проверьте брандмауэры и IP-таблицы. Протоколы меняются с TCP на AH и ESP. Это может сбивать с толку (или было для меня), потому что мы привыкли думать, что только TCP / IP.
Если вы запускаете vpn на компьютере, который не является шлюзом по умолчанию для ящиков Linux, вам нужно будет добавить маршруты в ящики Linux, указывающие на правильный шлюз.
Проверьте правила вашего брандмауэра. Вы же не хотите МАСКАНИРОВАТЬ трафик, проходящий через VPN.
Вы, наверное, уже смотрели на него, но взгляните на Linux IPsec как.
Вы также можете изучить использование racoon, это может облегчить некоторые проблемы при настройке ipsec.
У меня была такая же проблема, и я не знаю почему. Я где-то читал, что вам не нужны записи маршрутизации, потому что ядро напрямую заботится об этом через ассоциации безопасности ipsec (sa).
тем не менее, он должен работать (и работал у меня), если вы настроили статический маршрут, например:
ip route add 192.168.1.0/24 via 172.16.89.100