Încerc să configurez acest scenariu cu scopul de a conectivitate completă subrețea la subrețea:
.--------------. .--------------. .--------------.
| linux |--- LAN1 ---| NATing |--- INTERNET ---| Cisco |--- LAN2
| strong Swan | 172.x.x.x | ROUTER | | RV130 | 192.168.a.a
| Gateway VPN | | | | |
'--------------' '--------------' '--------------'
172.a.a. 192.168.b.b
Cisco RV130 se conectează la gateway-ul VPN foarte bine, iar tunelul este stabilit:
# strongswan statusall
subnet-subnet: copil: 172.x.x.x/16 === 192.168.a.a/24 TUNNEL, dpdaction=clear
subrețea-subrețea{193}: 172.x.x.x/16 === 192.168.a.a/24
Dar nu există trafic prin tunel. Ping eșuează pe ambele părți, și alte protocoale (ARP, SSH, HTTP).
Iptable-urile mele pe serverul strongSwan:
-A FORWARD -s 192.168.a.a/24 -d 172.x.x.x/16 -i eth0 -m policy --dir in --pol ipsec --reqid 62 --proto esp -j ACCEPT
-A FORWARD -s 172.x.x.x/16 -d 192.168.a.a/24 -o eth0 -m policy --dir out --pol ipsec --reqid 62 --proto esp -j ACCEPT
Ar trebui să menționez, de asemenea, că serverul strongSwan reușește cu succes să ofere VPN pentru multe conexiuni subrețea-client.
strongswan.conf:
[...]
conn subnet-subnet
auto=adăugați
compresa=nu
tip=tunel
keyexchange=ikev1
fragmentare=da
ike=aes256-sha256-modp1024,3des-sha1-modp1024!
esp=aes256-sha256-modp1024,3des-sha1!
dpdaction=clear
dpddelay=300s
stânga=%defaultroute
leftid=@<the fqdn>
firewall stânga=da
leftcert=servcert.der
leftsendcert=intotdeauna
leftsubnet=172.x.x.x/16
dreapta=<IP-ul public al RV130>
rightid=<IP public al RV130>
rightsubnet=192.168.a.a/24
authby=secret
ce fac greșit?
