StrongSwan IPSEC策略

Question

我有工作连接A->B和B->C

经过3天的尝试，我需要一点帮助，但还是无法达到预期的效果。

我应该在站点B中设置什么来使用ipsec策略从A->C和C->A获得连接？

地点A Mikrotik

当地10.10.0.0/24

Public= 179.x.x.x

站点B ubuntu serv

当地192.168.0.0/24

Public= 216.x.x.x

C站点Pfsense

当地192.168.255.0/24

Public=218.x.x.x

康涅狄格->A

    type=tunnel
    auto=add
    keyexchange=ikev2
    authby=secret
    leftid=216.x.x.x
    left=216.x.x.x
    leftsubnet=192.168.0.0/24
    right=179.x.x.x
    rightsubnet=10.10.0.0/24
    ike=aes256-sha1-modp2048!
    esp=aes256-sha1!
    aggressive=no
    keyingtries=%forever
    ikelifetime=28800s
    lifetime=3600s
    dpddelay=30s
    dpdtimeout=120s

康涅狄格->C

    type=tunnel
    auto=add
    keyexchange=ikev2
    authby=secret
    leftid=216.x.x.x
    left=216.x.x.x
    leftsubnet=192.168.0.0/24
    right=218.x.x.x
    rightsubnet=192.168.255.0/24
    ike=aes256-sha1-modp2048!
    esp=aes256-sha1!
    aggressive=no
    keyingtries=%forever
    ikelifetime=28800s
    lifetime=3600s
    dpddelay=30s
    dpdtimeout=120s
    dpdaction=restart

Answer 1

在这个经典的轮毂和轮辐方案中，您需要协商IPsec策略(通过左、右子网)，在这些连接的本地端包含A和C的子网。

因此，对于B->A，您必须配置leftsubnet=192.168.0.0/24,192.168.255.0/24和B->C leftsubnet=192.168.0.0/24,10.10.0.0/24。

在A和C上，您需要进行类似的更改，以便在A上远程流量选择器包含C的子网，反之亦然(您还可以提议0.0.0.0/0，让B将其缩小到实际的远程子网)。请注意，只有连接到B的主机支持每个CHILD_SA的多个子网(Mikrotik可能不是这样)，这两种方法才能工作。否则，您必须为每个子网创建一个单独的连接(请参阅此常见问题条目上的strongSwan wiki)。