Strongswan：幾個正確的子網

我在 CentOS7 上安裝了 Strongswan，連接到 Palo Alto 路由器。我無法訪問遠端路由器上的配置。我想在另一邊配置兩個子網——一個只有一個 IP。我在 ipsec.conf 中有這個配置：

conn %default
       keyexchange=ikev2
       authby=secret

conn net-net
       ike=aes256-sha512-modp2048!
       leftauth=psk
       left=xx.xx.xx.xx
       leftsubnet=10.255.1.0/24
       leftfirewall=yes
       rightauth=psk
       right=yy.yy.yy.yy
       auto=add
       rightsubnet=10.250.72.0/24,192.168.149.199/32

啟動隧道後，我只能ping 192.168.149.199，但10.250.72.0/24 內的主機都沒有。如果我只配置 10.250.72.0/24 子網，ping 就可以了。

我的版本：

[root@ipsec01 strongswan]# strongswan --version
Linux strongSwan U5.4.0/K3.10.0-514.6.1.el7.x86_64

根據手冊，逗號分隔的符號應該是正確的。我應該使用什麼配置？

根據手冊，逗號分隔的符號應該是正確的……

如果另一個對等方支持每個 CHILD_SA 的多個子網。這裡可能不是這種情況。如果是這樣，您必須定義多個 conn 部分來啟動單獨的 CHILD_SA：

conn %default
       keyexchange=ikev2
       authby=secret

conn net-net
       ike=aes256-sha512-modp2048!
       leftauth=psk
       left=xx.xx.xx.xx
       leftsubnet=10.255.1.0/24
       leftfirewall=yes
       rightauth=psk
       right=yy.yy.yy.yy
       auto=add
       rightsubnet=10.250.72.0/24

conn net-host
       also=net-net
       rightsubnet=192.168.149.199/32

---

“strongswan up net-net”成功，但之後“strongswan up net-host”失敗並出現“收到 INVALID_SYNTAX 通知錯誤”。當我首先設置 net-host 時，這個成功，然後 net-net 失敗。所以第二個總是失敗……

如果每個 IKE_SA 創建了多個 CHILD_SA，則該對等點似乎也有問題（但是，在這種情況下，INVALID_SYNTAX 是一個奇怪的錯誤）。為了避免這種 charon.reuse_ikesa情況，strongswan.conf 中可能會被禁用。這樣，一個新的 IKE_SA 與第二個 CHILD_SA 一起創建。

如果每個對等體只允許一個 IKE_SA，後者可能會導致問題。因此，另一種可能的選擇（如果對等方支持）是設置rightsubnet=0.0.0.0/0（只需要一個 conn 部分），然後另一個對等方可以將其縮小到它允許的子網。但是，這與您的第一次嘗試有點相似，因此它可能不適用於首先遇到每個 CHILD_SA 的多個子網問題的對等方。

引用自：https://unix.stackexchange.com/questions/351700