Mám strongswan nastavený takto a funguje to úplně bez problému a během
výpadků se nahazuje tunel sám.
config setup
charondebug="ike 1, knl 1, cfg 1"
uniqueids=never
strictcrlpolicy=yes
# uniqueids = no
conn vps_to_fw
type=tunnel
auto=start
keyexchange=ikev1
authby=secret
left=1.2.3.4
leftsubnet=10.11.0.0/24
right=5.6.7.8
rightsubnet=192.168.0.0/24
ike=aes256-sha1-modp1024!
esp=aes256-sha1!
aggressive=no
keyingtries=%forever
ikelifetime=28800s
lifetime=3600s
dpddelay=30s
dpdtimeout=120s
dpdaction=restart
Konfigurace výše je na linuxovém stroji, protější strana je starý
OpenBSD stroj, kde používám nativní ipsec implementaci.
Další příklad mám z jiného linuxového stoje a protějšek je mikrotik za
NATem.
conn vpn-mikrotik-ikev2
auto=add
keyexchange=ikev2
dpdaction=clear
leftid=11.22.33.44
leftcert=server-cert.pem
leftsubnet=0.0.0.0/0
leftsendcert=always # iOS clients need this
right=%any
rightsendcert=never
rightauth=eap-mschapv2
rightsubnet=192.168.10.0/24
eap_identity=%identity
Už je to dlouho, co jsem to nastavoval, ale tuším, že mi taky auto=route
nefungovalo. Obě tyto varianty běží už roky a nahazují se samy, nemusím
s tím nic dělat.
Snad to pomůže.
Petr
Dne 28. 04. 22 v 19:23 Miroslav Lachman napsal(a):
Nejsem si uplne jisty, jestli je tenhle problem specificky pro FreeBSD,
protoze jiny system nemam. Kazdopadne se moje pozorovani rozchazi s tim,
co tvrdi dokumentace a ruzna HowTo.
Mam stroj, ktery se pres IPSec pripojuje do nekolika dalsich siti.
Konfigurace je pomerne jednoducha a "funkcni" za predpokladu, ze spojeni
rucne nahodim prikazem "ipsec up conn1", "ipsec up conn2" atd.
conn conn1
keyexchange=ikev2
ikelifetime=3h
ike=aes256-sha256-ecp384
esp=aes256-sha256-ecp384
lifetime=1h
authby=secret
type=tunnel
left=AA.BB.CC.DD
leftid=AA.BB.CC.DD
leftsubnet=10.11.12.13/24
right=MM.NN.OO.PP
rightid=MM.NN.OO.PP
rightsubnet=192.168.5.60
#auto=start
auto=route
dpdaction=restart
dpddelay=30s
closeaction=restart
Podobne vypadaji i ostatni spojeni, ale maji jine IP adresy a ike / esp
algoritmy.
Muj problem je, ze pokud tam mam nastaveno auto=route, tak by to podle
dokumentace melo nainstalovat kernal trap a pokud system zachyti nejaky
trafik do te destinace a spojeni jeste neni navazane, tak ho navaze.
https://wiki.strongswan.org/projects/strongswan/wiki/ConnSection
U me se ale nic nestane, spojeni se nenavaze, ping z pocitace v LAN na
ten vzdaleny konec neprojde.
Pokud spustim "ipsec up conn1", tak se spojeni navaze a packety zacnou z
LAN prochazet.
Pokud tam ale nastavim auto=start a reloadnu konfiguraci "ipsec reload",
tak se okamzite navaze spojeni a muzu z LAN pingat ten vzdaleny host.
Puvodne jsem to v konfiguraci mel nastavene jako auto=start, ale pokud
dojde k ukonceni spojeni z protejsi strany, ztrate konektivity, nebo
jinym problemum, tak uz se spojeni samo neobnovi. Zda se, ze na to
nefunguje ani dpdaction=restart.
Nasel jsem treba i ticket https://wiki.strongswan.org/issues/825 nebo
ServerFault
https://serverfault.com/questions/556885/using-strongswan-whats-the-difference-between-auto-add-and-auto-start
kde se pise:
What usually works best is to use auto=route for your connection. The
kernel will (re-)trigger the connection if it failed for whatever
reason, and ensures that no traffic passes unencrypted
A tak me napada, jestli nemam necospatne, nebo jestli tohle chovani neni
zalezitosti Linux vs FreeBSD? Klidne si dovedu predstavit, ze na
Linuxovem kernelu se tohle muze chovat jinak, nez na FreeBSD.
Provozujete nekdo IPsec se StrongSwan na FreeBSD a funguje vam
auto=route tak, jak je popisovano?
Mirek
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
