Вопрос или проблема
Я пытаюсь настроить VPN L2TP/IPsec. Я установил openswan из репозитория на Ubuntu 13.04
Раздел: universe/net
Архитектура: amd64
Версия: 1:2.6.38-1
и настроил его согласно документации сообщества.
# cat /etc/ipsec.conf
настройка конфигурации
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:!192.168.23.0/24
oe=off
protostack=netkey
conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
также=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
authby=secret
pfs=no
auto=add
keyingtries=3
rekey=no
# Apple iOS не отправляет уведомление о удалении, поэтому нам нужно обнаружение мертвых пирингов
# для выявления исчезающих клиентов
dpddelay=30
dpdtimeout=120
dpdaction=clear
# Установите ikelifetime и keylife на такие же параметры по умолчанию, как в Windows
ikelifetime=8h
keylife=1h
type=transport
# Замените IP-адрес на ваш локальный IP (приватный IP за NAT тоже подходит)
left=my.ip
# Для обновленных клиентов Windows 2000/XP,
# чтобы поддерживать старые клиенты, используйте leftprotoport=17/%any
leftprotoport=17/1701
right=%any
rightprotoport=17/%any
# заставьте все NAT'ed, из-за iOS
forceencaps=yes
Он запускается нормально, но не проходит проверку
# ipsec verify
Проверка вашей системы, чтобы увидеть, правильно ли установлен и запущен IPsec:
Проверка версии и путь к ipsec [OK]
Linux Openswan U2.6.38/K3.8.0-29-generic (netkey)
Проверка поддержки IPsec в ядре [OK]
SAref поддержка ядра [N/A]
NETKEY: Проверка значений proc, связанных с XFRM [OK]
[OK]
[OK]
Проверка, что pluto работает [OK]
Pluto слушает IKE на udp 500 [OK]
Pluto слушает NAT-T на udp 4500 [OK]
Обнаружено два или более интерфейсов, проверка IP-передачи [FAILED]
Проверка NAT и MASQUERADEing [OK]
Проверка команды 'ip' [OK]
Проверка /bin/sh не является /bin/dash [OK]
Проверка команды 'iptables' [OK]
Поддержка оппортунистического шифрования [DISABLED]
хотя передача, похоже, включена
# cat /proc/sys/net/ipv4/ip_forward
1
Что не так и как это исправить?
Я наткнулся на это, когда искал ошибку :
Думаю, это ответ :
https://lists.openswan.org/pipermail/users/2009-September/017423.html
Я только что обновился до 2.6.23 и запустил ipsec verify, и я получаю
непредвиденную ошибку:
Обнаружено два или более интерфейсов, проверка IP-передачи [FAILED]cat /proc/sys/net/ipv4/ip_forward возвращает 1, поэтому я в замешательстве.
Если это поможет, eth0 — это моя WAN, eth1 — моя обычная LAN, eth1:0 — виртуальный
IP на eth1, чтобы обойти проблему, которую я имел с запуском
Openswan на комбинированном шлюзе/файловом сервере, а eth2 — это второй, неиспользуемый
адаптер LAN.
Тогда вы можете игнорировать это. Это предупреждение при запуске туннеля subnet-subnet или
subnet-host со стороны подсети, где вам нужно, чтобы передача шла
с публичной стороны (интернет) на lan.
Ответ или решение
Ошибка, с которой вы столкнулись в выводе команды ipsec verify, связанная с сообщением "Two or more interfaces found, checking IP forwarding [FAILED]", может быть несколько сбивающей с толку, особенно если вы уже проверили, что IP-ригирование на вашем сервере включено.
Чтобы решить эту проблему, можно рассмотреть следующие аспекты:
-
Проверка IP-ригирования: Вы уже проверили, что IP-ригирование включено, так как команда
cat /proc/sys/net/ipv4/ip_forwardвозвращает1. Для дополнительной уверенности убедитесь, что ригане включено и в файле конфигурации/etc/sysctl.conf. Найдите и убедитесь, что строка:net.ipv4.ip_forward = 1присутствует и не закомментирована. Если вы внесли изменения, не забудьте выполнить команду
sysctl -pдля применения изменений. -
Множественные сетевые интерфейсы: У вас могут быть несколько сетевых интерфейсов, как указано в выводе. Если ваш сервер имеет более одного интерфейса (например, WAN и LAN), это может вызвать предупреждение. Важно также убедиться, что не существует конфигурационных конфликтов между интерфейсами, особенно если используется виртуализация или различные подсети.
-
Игнорирование предупреждения: Как отмечено в вашем сообщении о помощи, это предупреждение можно игнорировать, если вы используете VPN-туннели, настроенные с одной стороны как подсеть и с другой стороны как хост. Это нормально, если ваш сервер работает в качестве шлюза для доступа к нескольким сетям, поскольку основной поток трафика проходит через публичный интерфейс.
-
Дополнительные проверки конфигурации: Убедитесь, что ваша конфигурация файлы
/etc/ipsec.confнастроена правильно для работы с множественными интерфейсами и маршрутизацией. Проверьте настройки вашего брандмауэра, чтобы убедиться, что необходимые порты открыты (UDP 500 и 4500 для IPsec) и что включена поддержка NAT, если это требуется. -
Обновление и совместимость: Убедитесь, что ваше программное обеспечение Openswan обновлено, так как проблемы могут возникать из-за устаревших версий. Версия 2.6.38 достаточно старая, и возможны решения, которые были внедрены в более поздних релизах.
Если после выполнения всех этих проверок проблема не исчезла, вы можете использовать данный вывод для дальнейшего изучения на форумах поддержки Openswan или в списках рассылки разработчиков, где пользователи обсуждают подобные проблемы.