Strongswanトンネルは機能していますが、互いにpingできません。

tag-icon tag-icon vpn ipsec strongswan
Strongswanトンネルは機能していますが、互いにpingできません。

奇妙な問題に直面しました。同じネットワーク上のCentos 8にVPNトンネルを配置するようにサイトを設定しましたが、接続されていますが、互いにpingすることはできません。ここに私の構成と状態は以下にあります。

サイトA

[root@site-B ~]# Strongswan ヘルスセキュリティ接続 (1 個開始、0 個接続中): 2gateway-to-gateway1[4]: ESTABLISHED 6 秒前、100.100.100.6[100.100.100.6]... 100.100 .100.22[ 100.100.100.22] 2Gateway to Gateway1{3}: インストール済み、トンネル済み、2 個必要、ESP SPI: caeaf7b6_ic214a703_o 2Gateway to Gateway1{3}: 10.20.1.0.1.0

IPルーティング

[root@site-A~]# ip r 100.100.100.1 でデフォルト値を表示100.10 0 .100.22メートル法100

onfig setup
    charondebug="all"
    uniqueids=yes

conn ateway1-to-gateway2タイプ=トンネル自動=開始keyexchange=ikev2 authby=secret左=100.100.100.22 leftsubnet=10.10.1.1/24 right=100.100.100.6 rightsubnet=10 24! esp=aes256-sha1!積極的=キーイングなし試行=%永遠にikelifetime=28800秒寿命=3600秒 dpddelay=30秒 dpdtimeout=120秒 dpdaction=再起動

[root@site-A~]# cat /etc/strongswan/ipsec.secrets 100.100.100.22 100.100.100.6: PSK「XXXXXXXXXXXX」

[root@site-A ~]# cat /etc/sysctl.conf

net.ipv4.ip_forward = 1 net.ipv6.conf.all.forwarding = 1 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0

サイトB

[root@site-B ~]# Strongswan Health Security 接続 (1 開始、0 接続中): 2gateway-to-gateway1[4]: 4 分前に設定された、100.100.100.6[100.100.100.6]... 100.100. 100.22[ 100.100.100.22] 2gateway-to-gateway1{3}: インストール済み、TUNNEL、必須 ID 2、ESP SPI: caeaf7b6_i c214a703_o 2gateway-to-gateway1{3}: 10.2.1.0.2.4.1

IPルーティング

[root@site-B ~]# ip r 100.100.100.1 dev enp0s3 proto dhcp metric 100 10.20.1.0/24 via 100.100.100.6 dev enp0s3 100.100.100.0/24 dev enp0s3 proto 커널 범위 링크 src 100.100 . 100.6メートル法100

config setup
    charondebug="all"
    uniqueids=yes

conn 2gateway-to-gateway1タイプ=トンネル自動=開始keyexchange=ikev2 authby=secret left=100.100.100.6 leftsubnet=10.20.1.1/24 right=100.100.100.22 rightsub4 1024! esp=aes256-sha1!積極的=キーイングなし試行=%永遠にikelifetime=28800秒寿命=3600秒 dpddelay=30秒 dpdtimeout=120秒 dpdaction=再起動

[root@site-B ~]# cat /etc/strongswan/ipsec.secrets 100.100.100.6 100.100.100.22 : PSK “XXXXXXXXXXXX”

[root@site-B ~]# cat /etc/sysctl.conf

net.ipv4.ip_forward = 1 net.ipv6.conf.all.forwarding = 1 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0

ベストアンサー1

Aoa、左右のサブネットが異なるネットワーク上にあるため、1つの解決策は次のとおりです。

  1. 両方のサブネットにゲートウェイパスを追加し、互いにpingを開始してから、ゲートウェイデバイス間の暗号化されたパケットを確認します。

コマンド: パスを追加 xxx0/24 マスク xxxx xxxx(gw)

おすすめ記事