Estou tentando configurar uma conexão segura IPSec com o gateway. Tenha três hosts:
A:
eth1 - fec0:1::1/64
B:
eth1 - fec0:1::2/64
eth2 - fec0:2::2/64
which is gateway between A and C; forwarding is set to 1 in sysctl
C:
eth1 - fec0:2:3/64
Eu gostaria de construir uma conexão IPsec entre A e B, que será encaminhada de forma insegura entre B e C.
ipsec.conf:
config setup
charondebug="ike 2, knl 2, cfg 1"
ca strongswan
cacert=ca.crt
auto=add
conn %default
ikelifetime=60m
keylife=20m
rekeymargin=3m
keyingtries=1
mobike=no
keyexchange=ikev2
conn host-host
left=fec0:1::1
leftcert=hostA.crt
leftid=@hostA
right=fec0:1::2
rightid=%any
type=transport
auto=add
A configuração de B parece semelhante. Tentei definir auto=route, mas não consigo inicializar nenhuma conexão.
Usando tal configuração, apenas o tráfego endereçado a B é protegido. Quando tento enviar algo de A para C - é inseguro em todo o caminho.
Alguma ideia de como resolver?
É exatamente assim que deve ser. Você estabeleceu uma SA IPsec de modo de transporte entre A e B, o que significa que existem políticas IPsec que se aplicam apenas ao tráfego entre esses dois hosts. Se você deseja proteger o tráfego entre A e C (no caminho entre A e B), você deve usar o modo de túnel e configurar os seletores/políticas de tráfego apropriados.
Adicione uma conexão adicional:
Ou altere a conexão existente:
A configuração em B deve ser alterada de acordo.