Próbuję użyć openswan (wersja 2.6.37), aby połączyć VPN IPsec z mojej sieci lokalnej do strony zdalnej. Wszystko działa dobrze, gdy chcę tylko połączyć się z jedną podsiecią na zdalnej stronie. Jednak zdalna witryna ma również dodatkową podsieć, do której chcę uzyskać dostęp.
Oto moja konfiguracja:
conn myConn
type=tunnel
left=192.168.139.14
leftsubnet=192.168.139.0/24
leftxauthclient=yes
right=X.X.X.X
rightsubnet=172.16.1.0/24
keyexchange=ike
auth=esp
authby=secret
phase2alg=3des-sha1
pfs=yes
Kiedy wymienić rightsubnet
z rightsubnets
, tak jak poniżej:
rightsubnets={172.16.1.0/24 192.168.3.0/24}
... połączenie zostanie pomyślnie utworzone, ale dostępna będzie tylko ostatnia podsieć na liście. Wszelkie próby pingowania czegokolwiek w 172.16.1.0
podsieci kończą się niepowodzeniem. Jeśli zamienię kolejność podsieci, mogę pingować, 172.16.1.X
ale nie mogę pingować niczego w drugiej podsieci. To tak, jakby openswan używa tylko ostatniej podsieci na liście do utworzenia połączenia.
Czy robię tu coś złego?
Trochę dodatkowych informacji, których nie wspomniałem (chociaż nie jestem pewien, czy są one istotne): Mój klient openswan stoi za routerem korzystającym z NAT i mam go nat_traversal=yes
w swoim ipsec.conf
pliku.
connection myConn2
), wszystko było identyczne z wyjątkiem rightsubnet
. Kiedy używam ipsec auto --up myConn
, mogę pingować 172.168.1.X. Kiedy próbuję nawiązać drugie połączenie ( ipsec auto --up myConn2
), mogę pingować 192.168.3.X, ale pierwsze połączenie całkowicie zanika.