linux – 启用IPSec后无法ssh到远程系统

发布时间：2020-12-14 02:55:23 所属栏目：Linux 来源：网络整理

导读：我在基本操作系统之上创建了两个虚拟机,并在两个虚拟机之间启用了IPSec. 现在的问题是,一旦IPsec启动并且在两个VM之间建立了SA,我就无法通过基本操作系统对VM进行ping或ssh,但VM可以相互ping通. 据我所知,IPsec仅在指定的IP之间创建一个隧道,即从IP A打算用

我在基本操作系统之上创建了两个虚拟机,并在两个虚拟机之间启用了IPSec.
现在的问题是,一旦IPsec启动并且在两个VM之间建立了SA,我就无法通过基本操作系统对VM进行ping或ssh,但VM可以相互ping通.
据我所知,IPsec仅在指定的IP之间创建一个隧道,即从IP A打算用于IP B的数据包被加密,而来自IP A的所有其他数据包都可以在没有加密的情况下通过.
我在这里错过了什么吗？
使用的配置文件是：

conn example  
        left=192.168.54.220  
        leftcert=CA_Server  
        leftsubnet=192.168.54.1/24  
        leftsendcert=always  
        leftrsasigkey=%cert  
        right=192.168.54.221  
        rightca=%same  
        rightrsasigkey=%cert  
        rightsubnet=192.168.54.1/24  
        rightcert=CA_Client  
        authby=rsasig  
        ikev2=permit  
        auto=start

解决方法

IPsec creates a tunnel between the specified IPs only,i.e. packets
intended for IP B from IP A gets encrypted and all other packets from
IP A can pass through without encryption. Am I missing something here?

是. IPSec在两个指定的端点(左侧和右侧)之间创建隧道.但是使用该隧道的流量,即加密的流量,位于两个指定的网络,leftsubnet和rightubnet之间.在您的情况下,两个路由的子网彼此相同,这是行不通的.

如果您想要的是从A到B加密的流量在A处加密并在B处解密,反之亦然,您通过将leftsubnet设置为左侧地址告诉S / WAN,在您的情况下为192.168.54.220/32(掩码为重要的是,并通过将rightsubnet设置为正确的地址,在您的情况下为192.168.54.221/32.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!