我正在尝试在CentOS 6.5(最终版)上设置一个OpenSwan(2.6.32)来连接亚马逊云上的远程VPC网关.我把隧道搞定了.但是,仅路由来自/到leftsubnets中定义的最后一个ip范围的流量.第一个工作短暂一秒(可能在第二个隧道启动之前),然后没有更多路由.以下是我的配置.
conn aws-vpc
leftsubnets={10.43.4.0/24 10.43.6.0/24}
rightsubnet=10.43.7.0/24
auto=start
left=206.191.2.xxx
right=72.21.209.xxx
rightid=72.21.209.xxx
leftid=206.191.2.xxx
leftsourceip=10.43.6.128
authby=secret
ike=aes128-sha1;modp1024
phase2=esp
phase2alg=aes128-sha1;modp1024
aggrmode=no
ikelifetime=8h
salifetime=1h
dpddelay=10
dpdtimeout=40
dpdaction=restart
type=tunnel
forceencaps=yes
启动IPsec服务后:
# service ipsec status
IPsec running - pluto pid: 8601
pluto pid 8601
2 tunnels up
some eroutes exist
# ip xfrm policy
src 10.43.6.0/24 dst 10.43.7.0/24
dir out priority 2344 ptype main
tmpl src 206.191.2.xxx dst 72.21.209.xxx
proto esp reqid 16389 mode tunnel
src 10.43.7.0/24 dst 10.43.6.0/24
dir fwd priority 2344 ptype main
tmpl src 72.21.209.xxx dst 206.191.2.xxx
proto esp reqid 16389 mode tunnel
src 10.43.7.0/24 dst 10.43.6.0/24
dir in priority 2344 ptype main
tmpl src 72.21.209.xxx dst 206.191.2.xxx
proto esp reqid 16389 mode tunnel
src 10.43.4.0/24 dst 10.43.7.0/24
dir out priority 2344 ptype main
tmpl src 206.191.2.xxx dst 72.21.209.xxx
proto esp reqid 16385 mode tunnel
src 10.43.7.0/24 dst 10.43.4.0/24
dir fwd priority 2344 ptype main
tmpl src 72.21.209.xxx dst 206.191.2.xxx
proto esp reqid 16385 mode tunnel
src 10.43.7.0/24 dst 10.43.4.0/24
dir in priority 2344 ptype main
tmpl src 72.21.209.xxx dst 206.191.2.xxx
proto esp reqid 16385 mode tunnel
我不认为防火墙在这里扮演任何角色,因为我完全将其关闭以测试连接.路线也按预期工作.如果我在左侧定义单个网络,单独在一个单独的测试连接上,我可以到达任一子网.只有当我定义leftsubets时,最后的最后一个范围才会被路由到最后.无论哪个先到,在停止路由之前都要工作一小段时间.
我在网上找不到任何人有类似的问题…有人可以赐教吗?
干杯,
博
使用leftsubnets时,必须使用权限子网,而不是权限子网.如
http://linux.die.net/man/5/ipsec.conf所述:
If both a
leftsubnets=andrightsubnets=is defined,all combinations of subnet tunnels will be instantiated.
