Estoy tratando de usar Openswan (versión 2.6.37) para conectar una VPN IPsec desde mi red local a un sitio remoto. Todo funciona bien cuando solo quiero conectarme a una única subred en el sitio remoto. Sin embargo, el sitio remoto también tiene una subred adicional a la que quiero acceder.
Esta es mi configuración:
conn myConn
type=tunnel
left=192.168.139.14
leftsubnet=192.168.139.0/24
leftxauthclient=yes
right=X.X.X.X
rightsubnet=172.16.1.0/24
keyexchange=ike
auth=esp
authby=secret
phase2alg=3des-sha1
pfs=yes
Cuando reemplazo rightsubnet
con rightsubnets
, así:
rightsubnets={172.16.1.0/24 192.168.3.0/24}
... entonces la conexión se crea correctamente pero solo está disponible la última subred de la lista. Cualquier intento de hacer ping a cualquier cosa en la 172.16.1.0
subred falla. Si cambio el orden de las subredes, entonces puedo hacer ping 172.16.1.X
pero no puedo hacer ping a nada en la otra subred. Es como si Openswan solo utilizara la última subred de la lista para crear una conexión.
¿Estoy haciendo algo mal aquí?
Un poco de información adicional que no mencioné (aunque no estoy seguro de que sea relevante): mi cliente Openswan está detrás de un enrutador que usa NAT y lo tengo nat_traversal=yes
en mi ipsec.conf
archivo.
fuente
connection myConn2
), con todo idéntico excepto elrightsubnet
. Cuando lo uso,ipsec auto --up myConn
puedo hacer ping a 172.168.1.X. Cuando trato de abrir la segunda conexión (ipsec auto --up myConn2
), puedo hacer ping a 192.168.3.X pero la primera conexión muere por completo.vpnc
!Respuestas:
Parece que el separador habitual para las subredes múltiples es una coma , pero al menos openswan-2.6.32 también funciona con espacios.
Se debe registrar información interesante en la
/var/log/secure
que pueda contener pistas de por qué no funciona. También publique la salida deip x s sh
yip x p sh
.fuente
rightsubnet*s*
) en lugar de singular.Realice la
conn
configuración de la sección para cada subred en AMBOS puntos finales del túnel. Solo uno de ellos (el primero iniciado) comenzará una negociación de SA, el segundo (o más) solo hará un nuevo SPD de las subredes adicionales.fuente
Si usas
rightsubnets
tienes que usarleftsubnets
también, noleftsubnet
. Incluso si solo hay una subred en ese lado. La página de manual de ipsec.conf no hace un gran trabajo al explicar esto, pero está ahí.Tuve los mismos problemas durante meses y acabo de encontrar la respuesta aquí: /server/571352/openswan-multiple-subnets-routing-issue
fuente
Parece que hay un error en OpenSwan donde la lista de subredes necesita una coma extra al final para funcionar correctamente. Tratar:
Tenga en cuenta la coma extra al final.
fuente
Debería ser así
Use una coma (
,
) y no un espacio para separar las entradas.fuente