înregistrare Logare
Puncte:0
Saurabh Kumar avatar Server

Tunelul Strongswan este conectat, dar traficul nu trece prin el

drapel fo
Saurabh Kumar

Am 3 clustere de mașini virtuale (platform1, platform2 și platform3) și am activat comunicarea tunel ipsec între ele folosind strongswan (5.6.2). Tunelul pare bine și conectat, dar se pare că există o problemă la rutarea traficului prin tunel într-o anumită direcție. Mai jos sunt observațiile

  1. În timp ce încercați să faceți ping de la platforma1 (192.168.10.1) la platforma2 (192.168.10.2), pachetele se pierd
  2. În timp ce încercați să faceți ping de la platforma2 la platforma1, funcționează bine.
  3. După pasul 2, ping-ul de la platforma1 la platforma2 începe să funcționeze

Versiunea strongswan: Linux strongSwan U5.6.2/K4.15.0-143-generic

Versiunea sistemului de operare: Ubuntu-18.04

Aveți idee/sugestie pentru a depana în continuare comunicarea dintre VM-uri?

Următoarele sunt configurația pe platforma2. platforma1 și platforma3 au configurație similară.

Conținutul fișierului găzduiește

192.168.10.1 platforma1
10.79.196.221 platforma1-extern
192.168.10.2 platform2
10.79.199.178 platform2-extern
192.168.10.3 platform3
10.79.199.212 platform3-extern

Următoarele sunt configurațiile pe platforma2. Platforma1 și platforma3 au, de asemenea, configurații similare.

ipsec.conf

    configurare
    charondebug="toate"
    uniceids=da
conn platform2-to-platform1
    tip=tunel
    auto=pornire
    keyexchange=ikev2
    stânga=10.79.199.178
    leftsubnet=192.168.10.2/32
    leftid=@platform2
    leftcert=platform2.cert.pem
    leftupdown=/home/user/tunnel/sa-updown-handler.sh
    dreapta=10.79.196.221
    rightsubnet=192.168.10.1/32
    rightid=@platform1
    nota=42
    ike=aes128-sha256-ecp256!
    esp=aes128-sha256!
    agresiv=nu
    keyingtries=%pentru totdeauna
    ikelifetime=28800s
    durata de viață=3600s
    dpddelay=30s
    dpdtimeout=120s
    dpdaction=repornire
conn platform2-to-platform3
    tip=tunel
    auto=pornire
    keyexchange=ikev2
    stânga=10.79.199.178
    leftsubnet=192.168.10.2/32
    leftid=@platform2
    leftcert=platform2.cert.pem
    leftupdown=/home/user/tunnel/sa-updown-handler.sh
    dreapta=10.79.199.212
    rightsubnet=192.168.10.3/32
    rightid=@platform3
    nota=42
    ike=aes128-sha256-ecp256!
    esp=aes128-sha256!
    agresiv=nu
    keyingtries=%pentru totdeauna
    ikelifetime=28800s
    durata de viață=3600s
    dpddelay=30s
    dpdtimeout=120s
    dpdaction=repornire

starea ipsec

user@platform2:~$ sudo ipsec statusall 
Starea demonului IKE charon (strongSwan 5.6.2, Linux 4.15.0-143-generic, x86_64):
  timp de funcționare: 3 zile, din 22 iulie 10:47:46 2021
  malloc: sbrk 2695168, mmap 0, folosit 1145568, gratuit 1549600
  fire de lucru: 11 din 16 inactiv, 5/0/0/0 de lucru, coada de joburi: 0/0/0/0, programat: 6
  plugin-uri încărcate: charon aesni aes rc2 sha2 sha1 md4 md5 mgf1 aleatoriu nonce x509 constrângeri de revocare pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent hmaccs-prf gmp agent solvente xcapvatt-fcke-mgpcs1 pkcs7 pkcs8 pkcs12 pgp -contoare generice
Adrese IP de ascultare:
  10.79.199.178
  192.168.10.2
Conexiuni:
platform2-to-platform1: 10.79.199.178...10.79.196.221 IKEv2, dpddelay=30s
platform2-to-platform1: local: [platform2] folosește autentificarea cu cheie publică
platform2-to-platform1: cert: „C=US, O=MyOrganisation, CN=platform2”
platform2-to-platform1: remote: [platform1] folosește autentificarea cu cheie publică
platform2-to-platform1: copil: 192.168.10.2/32 === 192.168.10.1/32 TUNNEL, dpdaction=restart
platform2-to-platform3: 10.79.199.178...10.79.199.212 IKEv2, dpddelay=30s
platform2-to-platform3: local: [platform2] folosește autentificarea cu cheie publică
platform2-to-platform3: cert: „C=US, O=MyOrganisation, CN=platform2”
platform2-to-platform3: remote: [platform3] folosește autentificarea cu cheie publică
platform2-to-platform3: copil: 192.168.10.2/32 === 192.168.10.3/32 TUNNEL, dpdaction=restart
Asociații de securitate (2 în sus, 0 conexiuni):
platform2-to-platform3[26]: INSTALAT acum 64 de minute, 10.79.199.178[platform2]...10.79.199.212[platform3]
platform2-to-platform3[26]: SPI-uri IKEv2: 25a984a1cd9eb524_i 5be00d6f63ee5974_r*, reautentificarea cheii publice în 6 ore
platform2-to-platform3[26]: propunere IKE: AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256
platform2-to-platform3{453}: INSTALED, TUNNEL, reqid 26, ESP SPI-uri: cede4a64_i cc6d694d_o
platform2-to-platform3{453}: AES_CBC_128/HMAC_SHA2_256_128, 0 bytes_i, 0 bytes_o, reintroducere în 23 de minute
platform2-to-platform3{453}: 192.168.10.2/32 === 192.168.10.3/32
platform2-to-platform3{454}: INSTALED, TUNNEL, reqid 26, ESP SPI-uri: cc70aa87_i c7e6e2f0_o
platform2-to-platform3{454}: AES_CBC_128/HMAC_SHA2_256_128, 0 bytes_i, 0 bytes_o, reintroducere în 25 de minute
platform2-to-platform3{454}: 192.168.10.2/32 === 192.168.10.3/32
platform2-to-platform3{455}: INSTALED, TUNNEL, reqid 26, ESP SPI: caa9b761_i cead3e1a_o
platform2-to-platform3{455}: AES_CBC_128/HMAC_SHA2_256_128, 0 bytes_i, 0 bytes_o, reintroducere în 25 de minute
platform2-to-platform3{455}: 192.168.10.2/32 === 192.168.10.3/32
platform2-to-platform1[25]: INSTALAT acum 6 ore, 10.79.199.178[platform2]...10.79.196.221[platform1]
platform2-to-platform1[25]: SPI-uri IKEv2: 25f267ea5b3d7b14_i 63a3d407e92c28a3_r*, reautentificarea cheii publice în 56 de minute
platform2-to-platform1[25]: propunere IKE: AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256
platform2-to-platform1{456}: INSTALED, TUNNEL, reqid 25, ESP SPI-uri: ce279b78_i c94beeaa_o
platform2-to-platform1{456}: AES_CBC_128/HMAC_SHA2_256_128, 0 bytes_i, 0 bytes_o, reintroducere în 29 de minute
platform2-to-platform1{456}: 192.168.10.2/32 === 192.168.10.1/32

config

utilizator@platform2:~$ ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
        inet 10.79.199.178 netmask 255.255.252.0 difuzare 10.79.199.255
        ether 00:50:56:05:39:88 txqueuelen 1000 (Ethernet)
        Pachete RX 74096446 octeți 5149048059 (5,1 GB)
        Erori RX 11265 au scăzut 2 depășiri 0 cadru 0
        Pachete TX 167716 octeți 47626811 (47,6 MB)
        Erori TX 0 a scăzut 0 depășiri 0 purtător 0 coliziuni 0
        întreruperea dispozitivului 16 bază 0x2000  
ipsec1: flags=193<UP,RUNNING,NOARP> mtu 1480
        inet 192.168.10.2 netmask 255.255.255.255
        tunel txqueuelen 1000 (tunel IPIP)
        Pachete RX 123 octeți 10344 (10,3 KB)
        Erori RX 0 a scăzut 0 depășiri 0 cadru 0
        Pachete TX 256 octeți 21153 (21,1 KB)
        Erori TX 3 a scăzut 0 depășiri 0 purtător 3 coliziuni 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
        inet 127.0.0.1 netmask 255.0.0.0
        loop txqueuelen 1000 (Loopback local)
        Pachete RX 241910023 octeți 55152362048 (55,1 GB)
        Erori RX 0 a scăzut 0 depășiri 0 cadru 0
        Pachete TX 241910023 octeți 55152362048 (55,1 GB)
        Erori TX 0 a scăzut 0 depășiri 0 purtător 0 coliziuni 0

Tabel de rute

utilizator@platform2:~$ ruta -n
Tabelul de rutare IP kernel
Destination Gateway Genmask Flags Metric Ref Utilizare Iface
0.0.0.0 10.79.199.253 0.0.0.0 UG 0 0 0 eth0
10.79.196.0 0.0.0.0 255.255.252.0 U 0 0 0 eth0
192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 ipsec1
248
0 + 2
djdomi avatar
drapel za
djdomi
Doar un gând, dar arătați-ne, vă rugăm, tabelul de rutare al fiecărei platforme și eliminați rezultatul ifconfig după linia inet, deoarece restul nu este necesar
0
Răspunde
drapel cn
ecdsa
Postat încrucișat [aici](https://github.com/strongswan/strongswan/discussions/530).
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.