我正在尝试设置与网关的 IPSec 安全连接。拥有三个主机:
A:
eth1 - fec0:1::1/64
B:
eth1 - fec0:1::2/64
eth2 - fec0:2::2/64
which is gateway between A and C; forwarding is set to 1 in sysctl
C:
eth1 - fec0:2:3/64
我想在 A 和 B 之间建立 IPsec 连接,这将在 B 和 C 之间不安全地转发。
ipsec.conf:
config setup
charondebug="ike 2, knl 2, cfg 1"
ca strongswan
cacert=ca.crt
auto=add
conn %default
ikelifetime=60m
keylife=20m
rekeymargin=3m
keyingtries=1
mobike=no
keyexchange=ikev2
conn host-host
left=fec0:1::1
leftcert=hostA.crt
leftid=@hostA
right=fec0:1::2
rightid=%any
type=transport
auto=add
B的配置看起来很相似。我尝试设置 auto=route,但是我无法初始化任何连接。
使用这种配置,只有发往 B 的流量是安全的。当我尝试将某些东西从 A 发送到 C 时 - 它在整个路径上都是不安全的。
任何想法如何解决它?
这正是它应该的样子。您在 A 和 B 之间建立了传输模式 IPsec SA,这意味着存在仅适用于这两个主机之间的流量的 IPsec 策略。如果您想保护 A 和 C 之间的流量(在 A 和 B 之间的路径上),您必须使用隧道模式并配置适当的流量选择器/策略。
添加一个额外的连接:
或更改现有连接:
B 上的配置必须相应更改。