Tôi đang cố gắng sử dụng Openswan (phiên bản 2.6.37) để kết nối VPN IPsec từ mạng cục bộ của tôi với một trang web từ xa. Mọi thứ hoạt động tốt khi tôi chỉ muốn kết nối với một mạng con duy nhất trên trang web từ xa. Tuy nhiên, trang web từ xa cũng có thêm một mạng con mà tôi muốn truy cập.
Đây là cấu hình của tôi:
conn myConn
type=tunnel
left=192.168.139.14
leftsubnet=192.168.139.0/24
leftxauthclient=yes
right=X.X.X.X
rightsubnet=172.16.1.0/24
keyexchange=ike
auth=esp
authby=secret
phase2alg=3des-sha1
pfs=yes
Khi tôi thay thế rightsubnet
bằng rightsubnets
, như vậy:
rightsubnets={172.16.1.0/24 192.168.3.0/24}
... Sau đó, kết nối được tạo thành công nhưng chỉ có mạng con cuối cùng trong danh sách khả dụng. Bất kỳ nỗ lực để ping bất cứ điều gì trên 172.16.1.0
mạng con đều thất bại. Nếu tôi trao đổi thứ tự của các mạng con xung quanh thì tôi có thể ping 172.16.1.X
nhưng không thể ping bất cứ thứ gì trên mạng con khác. Như thể Openswan chỉ sử dụng mạng con cuối cùng trong danh sách để tạo kết nối.
Tôi đang làm gì đó sai ở đây?
Một chút thông tin bổ sung mà tôi đã bỏ qua để đề cập (mặc dù tôi không chắc là nó có liên quan): Ứng dụng khách Openswan của tôi đứng sau bộ định tuyến sử dụng NAT và tôi có nat_traversal=yes
trong ipsec.conf
tệp của mình .
connection myConn2
), với mọi thứ giống hệt nhau ngoại trừ rightsubnet
. Khi tôi sử dụng, ipsec auto --up myConn
tôi có thể ping 172.168.1.X. Khi tôi cố gắng đưa kết nối thứ hai ( ipsec auto --up myConn2
), tôi có thể ping 192.168.3.X nhưng kết nối đầu tiên hoàn toàn chết.