Мы находимся в процессе замены сервера Microsoft TMG на сервер CentOS. Для VPN мы решили использовать strongswan из-за нестабильности с libreswan. Но у strongswan есть некоторые странные проблемы с несколькими подсетями с обеих сторон. Текущая рабочая конфигурация (libreswan) имеет leftsubnets = {10.xx0 / 24,172.yy0 / 24}
и rightsubnets = {10.yy0 / 24,172.zz 0/24}
. Как перенести эту конфигурацию libreswan на strongswan? Я попытался создать несколько подключений с одной левой подсетью и правой подсетью в каждой, файл конфигурации, кажется, анализируется правильно, но не устанавливаются SA (подключение 0, вверх 0). Я что-то пропустил?
Текущая конфигурация такая:
conn hmmm
left=86.x.x.x
right=y.y.y.84
keyexchange=ikev1
authby=secret
type=tunnel
auto=start
ike=aes256-sha1-modp1024
rekey=yes
leftsubnet=10.x.x.0/24
rightsubnet=10.y.y.0/24
conn hmmm-2
also=hmmm
leftsubnet=172.y.y.0/24
rightsubnet=172.z.z.0/24
Журналы говорят «нет предложений», однако эта настройка IKEv1 работает с libreswan. Другой конец - это Cisco ASA, находящаяся под нашим контролем, но поскольку нам нужна замена межсетевых экранов на месте, мы не можем выполнить обновление соединения до IKEv2.
В этой конфигурации отсутствует параметр esp
для указания параметров быстрого режима IKEv1, которые будут использоваться с рассматриваемым подключением IPsec. Только то. Дополнительные параметры: leftauth = psk
и rightauth = psk
в соответствии с нерекомендуемым синтаксисом ( authby
устарел), mobike = no
на всякий случай и ikelifetime = 8h
и lifebytes = 4608000000
, чтобы соответствовать настройкам времени жизни SA другой стороны. Это недостающая строка:
esp = aes256-sha1-modp1024,aes192-sha1-modp1024,aes128-sha1-modp1024
Я ожидал, что ESP будет использовать параметры IKE для настройки сопоставлений безопасности быстрого режима, но, вероятно, неправильно прочитал руководство.