带强天鹅的IPSec in IPSec

Question

我的服务器通过IPSec隧道与远程IPSec连接。现在我想设置连接到LAN2的第二个隧道，它连接到LAN1中的路由器，所以我需要在现有的Ipsec隧道中创建ipsec隧道：

LAN0 -- server -- internet -- GW1 -- LAN1 -- GW2 -- LAN2
            ====== IPSEC1 =====
           ============ IPSEC2 ================

IPSEC1工作得很好，我可以平GW2，但是IPSEC2不能工作。我不能更改GW1配置，但我可以完全控制服务器和GW2。在服务器日志中，我看到：

sending packet: from (server)[500] to (GW2)[500] (420 bytes)
sending retransmit 2 of request message ID 0, seq 1

在GW2上也是如此。我可以平平双方，但是IPSec包是不传输的。服务器上的ipsec.conf：

left=%defaultroute
leftid=serverip(from LAN0)
leftsubnet=LAN0/24
right=GW2
rightsubnet=LAN2/24

在GW2上：

left=GW2
leftid=GW2
leftsubnet=LAN2/24
right=server(from LAN0)
rightid=%any
rightsubnet=LAN0/24

怎么了？

Answer 1

这是不可能的，因为strongSwan在其UDP套接字上安装旁路策略，所以IKE通信被排除在任何IPsec处理之外。这就是为什么无法联系到GW2的原因，因为IKE消息不会通过IPSEC1发送，而是试图直接发送。

有一个选项(charon.plugins.kern-netlink.port_哪边)导致安装常规的、特定于端口/协议的策略，而不是套接字策略来排除IKE通信量。如果您在server和GW1之间为server和GW2的IP地址以及协议和端口(UDP 500/4500)协商额外的流量选择器，则可能会对IKE通信量进行隧道化(因为指定了IP地址，这些策略应该更具体，因此比旁路策略具有更高的优先级)。我从未尝试过这种方法，所以不确定它是否有效(在处理此类嵌套隧道时，内核中可能存在其他问题)。

另一种方法(也是未经测试的)可能是使用XFRM接口与显式路由一起使用，该路由通过与IPSEC1相关联的XFRM接口将数据包定向到GW2 (甚至可能与套接字策略一起工作)。