Nat
StrongSwan 主機無法訪問客戶端(雙重 NAT)
我已經成功建立了一個帶有 Win10 Pro 敏捷 VPN 客戶端和 linux StrongSwan 伺服器的 VPN Ikev2 隧道。客戶端能夠 ping 通 strongswan 伺服器(192.168.0.11)和 192.168.0.0/24 網路中的任何其他機器。但是 StrongSwan 伺服器無法 ping /arping 連接的 RoadWarrior。因此,某些程序由於無法到達客戶端而失敗。
我的網路設置:
Win10(192.168.0.10/VirtualIP:192.168.0.100)===(192.168.0.1)Fritz 路由器#1(91.13.xx 由 ISP) ===INTERNET=== (217.94.xx 由 ISP)Fritz 路由器#2( 192.168.0.1)===(192.168.0.11)StrongSwan 伺服器
ipsec.conf:
conn %default ikelifetime = 60m keylife = 20m rekeymargin = 3m keyingentries = 1 keyexchange = ikev2 rekey = no conn vpn left = 192.168.0.11 leftsubnet = 192.168.0.0/24 leftauth = pubkey leftcert = server1_Host_cert.pem right = %any rightauth = eap-mschapv2 rightsendcert = never rightsourceip = 192.168.0.100 eap_identity = %any auto = add include /var/lib/strongswan/ipsec.conf.incip 路由顯示表 220:
192.168.0.100 via 192.168.0.1 dev eth0 proto static src 192.168.0.11ip xfrm 政策:
src 192.168.0.100/32 dst 192.168.0.0/24 dir fwd priority 2851 ptype main tmpl src 91.13.x.x dst 192.168.0.11 proto esp reqid 8 mode tunnel src 192.168.0.100/32 dst 192.168.0.0/24 dir in priority 2851 ptype main tmpl src 91.13.x.x dst 192.168.0.11 proto esp reqid 8 mode tunnel src 192.168.0.0/24 dst 192.168.0.100/32 dir out priority 2851 ptype main tmpl src 192.168.0.11 dst 91.13.x.x proto esp reqid 8 mode tunnelFritz 路由器#2 在主機網路上使用防火牆。ESP、UDP500 和 UDP4500 被轉發到 strongswan 伺服器。伺服器本身不使用 iptables(接受策略)。
謝謝你的幫助。
已解決:由於某種原因,Windows 防火牆丟棄了我的 Intranet:allow 規則。因此它阻止了源自 VPN 網路的 ping 和 arping。重新輸入規則後(來源:192.168.0.0/24 == allow)它起作用了。