Strongswan:几个右子网

Question

我在CentOS7上安装了一个Strongswan，连接到Palo路由器。我无法访问远程路由器上的配置。我想在另一边配置两个子网--一个只是一个IP。我在ipsec.conf中有这个配置：

conn %default
        keyexchange=ikev2
        authby=secret

conn net-net
        ike=aes256-sha512-modp2048!
        leftauth=psk
        left=xx.xx.xx.xx
        leftsubnet=10.255.1.0/24
        leftfirewall=yes
        rightauth=psk
        right=yy.yy.yy.yy
        auto=add
        rightsubnet=10.250.72.0/24,192.168.149.199/32

启动隧道后，我只能点击192.168.149.199，但10.250.72.0/24中没有主机。如果我只配置10.250.72.0/24子网，ping就可以进入它。

我的版本：

[root@ipsec01 strongswan]# strongswan --version
Linux strongSwan U5.4.0/K3.10.0-514.6.1.el7.x86_64

根据手册，逗号分隔表示法应该是正确的。我应该使用什么配置？

Answer 1

根据手册，逗号分隔符号应该是正确的..。

如果其他对等方支持每个CHILD_SA的多个子网，则是这样。很可能这里不是这样的。如果是这样的话，您必须定义多个conn节来启动单独的CHILD_SAs：

conn %default
        keyexchange=ikev2
        authby=secret

conn net-net
        ike=aes256-sha512-modp2048!
        leftauth=psk
        left=xx.xx.xx.xx
        leftsubnet=10.255.1.0/24
        leftfirewall=yes
        rightauth=psk
        right=yy.yy.yy.yy
        auto=add
        rightsubnet=10.250.72.0/24

conn net-host
        also=net-net
        rightsubnet=192.168.149.199/32

"strongswan up net-net“成功，但在那之后，"strongswan up net-host”以“接收到的INVALID_SYNTAX通知错误”失败。当我先设置net时，这个成功了，之后net失败了。所以第二个总是失败。

如果每个CHILD_SA创建了多个IKE_SA (但是，在这种情况下，INVALID_SYNTAX是一个奇怪的错误)，那么这个对等点似乎也有问题。为了避免这种情况，可以禁用charon.reuse_ikesa中的strongswan.conf。这样，与第二个IKE_SA一起创建一个新的CHILD_SA。

如果每个对等方只允许一个IKE_SA，则后者可能会导致问题。因此，另一个可能的选项(如果对等方支持它)是设置rightsubnet=0.0.0.0/0 (只需要一个conn部分)，那么另一个对等点可以将其缩小到它允许的子网。但是，这有点类似于您的第一次尝试，因此它可能不适用于每个CHILD_SA存在多个子网问题的对等方。