Strongswan не весь трафик зашифрован

Я установил strongswan с маршрутизатором Cisco со следующей конфигурацией:

config setup
    uniqueids=never

ca default_ca
    auto=add

conn %default
    keyexchange=ikev1
    type=tunnel
    left=%any
    auto=add
    dpdaction=clear
    margintime=0s
    rekeyfuzz=20%
conn cisco-ezvpn
    keyexchange=ikev1
    left=10.0.1.2
    leftid=lab
    leftsourceip=%config
    leftfirewall=yes
    right=10.0.1.1
    rightsubnet=0.0.0.0/0
    xauth_identity=test
    auto=add
    leftauth2=xauth
    xauth=client
    aggressive=yes
    leftauth=psk
    rightauth=psk
    ikelifetime=86000s
    lifetime=86000s
    ike=aes256-sha256-ecp256
    esp=aes256-sha256

но я обнаружил, что не весь трафик шифруется.

  • если какая-то программа, например ssh, уже подключена к удаленному серверу
    перед ipsec вверх, эти соединения не будут тоннелем VPN пользы, им могут
    смотрите вывод tcpdump:

[root@lorawan ~]# tcpdump-i eth0 tcpdump: подробный вывод подавлен,
используйте -v или-vv для полного декодирования протокола прослушивание eth0, тип ссылки
EN10MB (Ethernet), размер захвата 262144 байт 22:17: 54.407463 IP
10.0.1.1 > 10.0.1.2: ЭСП(спі=0xc0920b53,сл=0x4a), длина 184 22:17:59.454819 ИС 10.0.1.2 > 10.0.1.1: ЭСП(спі=0x3ec810fd,сл=0x97),
длина 120 22: 17: 59.455637 IP 10.0.1.1 > 10.0.1.2:
ESP (spi=0xc0920b53,seq=0x4c), длина 104 22:17:59.455637 IP 10.0.1.1 >
10.10.0.0: 10.0.1.1 протокола ICMP UDP-порт домена недоступен, длина 36 22:17:59.455787 ИС 10.0.1.2 > 10.0.1.1: ЭСП(спі=0x3ec810fd,сл=0x98),
длина 120 22:18: 01.000771 STP 802.1 d, Config, Flags [нет], bridge-id
8000.80:Е0:1д:66:2Ф:А2.8001, длина 43 22:18:03.000814 СТП протоколы 802.1 D, конфигурации, флаги [нет], мост-идентификатор 8000.80:Е0:1д:66:2-ой этаж:А2.8001, длина 43
22:18:04.738096 ИС 10.0.1.2.33457 > 10.0.1.1.5888: флаги [П.], сл
4216930160: 4216930182, ack 50432821, выигрыш 17584, длина 22
22: 18: 04.738618 IP 10.0.1.1.5888 > 10.0.1.2.33457: Flags [.], последовательность
1: 27, ack 22, выигрыш 3446, длина 26 22: 18: 04.738679 IP 10.0.1.2.33457 >
10.0.1.1.5888: Флаги.[ ], ack 27, win 17584, length 0

интерфейс по умолчанию: eth0, по-прежнему могут быть доступны для внешних хостов процесса, например, ssh:

[root@lorawan ~]# tcpdump-i eth0 tcpdump: подробный вывод подавлен,
используйте -v или-vv для полного протокола расшифруйте слушать на eth0, соединени-типе
EN10MB (Ethernet), размер захвата 262144 байт 22:24: 28.021347 IP
10.0.1.2 > 10.0.1.1: ЭСП(спі=0x3ec810fd,СЛ=с кодом 0xa9), длина 120 22:24:ИС 28.169729 10.0.1.1.36550 > 10.0.1.2.ssh: флаги [P.], seq
156: 208, ack 825, win 2944, length 52 22:24: 28.170144 IP 10.0.1.2.ssh

10.0.1.1.36550: флаги [П.], сл 825:893, АСК 208, выиграть 16616, длина 68 22:24:28.370727 ИС 10.0.1.1.36550 > 10.0.1.2.ssh: Flags [.], подтверждение
893, победа 2876, длина 0

и мой iptables форвардер выглядит нормально:

[root@lorawan ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             10.10.0.0            policy match dir in pol ipsec reqid 1 proto esp
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:bootps
ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootps

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             10.10.0.0            policy match dir in pol ipsec reqid 1 proto esp
ACCEPT     all  --  10.10.0.0            anywhere             policy match dir out pol ipsec reqid 1 proto esp
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  10.10.0.0            anywhere             policy match dir out pol ipsec reqid 1 proto esp

мой вопрос: есть ли способ направить "весь трафик" в VPN?

1
задан code farmer
10.02.2023 23:35 Количество просмотров материала 3469
Распечатать страницу

1 ответ

Я думаю, возможно, что эта проблема является побочным эффектом того, как работает сетевой стек Linux и как библиотека libpcap захватывает трафик.

https://wiki.strongswan.org/issues/1114 https://wiki.strongswan.org/projects/strongswan/wiki/CorrectTrafficDump

Я надеюсь, что помог.

в отношении

0
отвечен aelbaz 2023-02-12 07:23

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя

Похожие вопросы про тегам:

linux
networking
ssh
strongswan
vpn
Вверх