Задать вопрос
@perrfect

Почему не работает vpn-туннель strongswan?

Добрый день.
Подскажите, пожалуйста, почему может не работать туннель ipsec между двумя Linux-машинами?
Linux-машини выступают как роутеры между внешним миром и локальными сетями.
Туннель поднимается успешно, но трафик в него не заворачивается.
Конфиг на роутере 1:
config setup
    charondebug="ike 2, knl 3, cfg 0"
    uniqueids=yes
    strictcrlpolicy=no

#define new ipsec connection
conn router_one
    auto=start
    type=tunnel
    keyexchange=ikev2
    authby=secret
    ike=aes256-sha1-modp1024!
    esp=aes256-sha1!
    dpdaction=restart
    dpddelay=300s
    left=1.1.1.1
    leftsubnet=192.168.1.0/24
    right=2.2.2.2
    rightsubnet=172.16.1.0/24
    aggressive=no
    keyingtries=%forever
    eap_identity=%identity
    ikelifetime=1h
    lifetime=1h
    dpdtimeout=120s
    dpdaction=restart
    fragmentation=no
    mobike=no

Конфиг на роурере 2:
config setup
    charondebug="ike 2, knl 3, cfg 0"
    uniqueids=yes
    strictcrlpolicy=no

#define new ipsec connection
conn router_two
    auto=start
    type=tunnel
    keyexchange=ikev2
    authby=secret
    ike=aes256-sha1-modp1024!
    esp=aes256-sha1!
    dpdaction=restart
    dpddelay=300s
    left=2.2.2.2
    leftsubnet=172.16.1.0/24
    right=1.1.1.1
    rightsubnet=192.168.1.0/24
    aggressive=no
    keyingtries=%forever
    eap_identity=%identity
    ikelifetime=1h
    lifetime=1h
    dpdtimeout=120s
    dpdaction=restart
    fragmentation=no
    mobike=no

Статус подключения:
Security Associations (1 up, 0 connecting):
router_one[2]: ESTABLISHED 16 minutes ago, 1.1.1.1[1.1.1.1]...2.2.2.2[2.2.2.2]
router_one{2}:  INSTALLED, TUNNEL, reqid 1, ESP SPIs: c2cb0ae8_i cd1dbb07_o
router_one{2}:   192.168.1.0/24 === 172.16.1.0/24

Security Associations (1 up, 0 connecting):
  router_two[3]: ESTABLISHED 13 minutes ago, 2.2.2.2[2.2.2.2]...1.1.1.1[1.1.1.1]
  router_two{3}:  INSTALLED, TUNNEL, reqid 2, ESP SPIs: c4612fe4_i cc275226_o
  router_two{3}:   172.16.1.0/24 === 192.168.1.0/24
  • Вопрос задан
  • 883 просмотра
Подписаться Средний Комментировать
Пригласить эксперта
Ответы на вопрос 2
fzfx
@fzfx
18,5 дм
а что говорит ip r на роутере 1?
Ответ написан
CityCat4
@CityCat4 Куратор тега VPN
//COPY01 EXEC PGM=IEBGENER
swanctl -l?
ip xfrm policy list?

а также посмотреть здесь:
cat /proc/net/xfrm_stat - нет ли там ошибок при обработке пакетов

У меня был случай, когда микротик со шваном не хотели работать из-за того, что микротик использовал какую-то свою реализацию SHA256, но это было давно.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы