Am stabilit cu succes IPSec în routerul meu OpenWrt, dar nu pot face ping la subrețeaua de la distanță.
Mai jos sunt fișierele aferente
cat ipsec.conf
conn vpn3
keyexchange=ikev2
stânga=10.129.170.132
dreapta=103.44.119.90
leftsubnet=192.168.18.0/24
rightsubnet=192.168.100.0/24
leftauth=psk
rightauth=psk
authby=secret
auto=pornire
dpdaction=repornire
dpddelay=30s
dpdtimeout=150s
keyingtries=%pentru totdeauna
mobike=da
ike=aes128-sha1-modp1024!
esp=aes128-sha1-modp1024!
ikelifetime=28800s
durata de viață=28800s
tip=tunel
forcecaps=da
ipsec statusall
Starea demonului IKE charon (strongSwan 5.8.2, Linux 4.14.241, mips):
timp de funcționare: 5 minute, din 08 aprilie 13:10:22 2022
fire de lucru: 11 din 16 inactiv, 5/0/0/0 de lucru, coada de joburi: 0/0/0/0, programat: 5
pluginuri încărcate: charon aes des sha2 sha1 md4 md5 aleatoriu nonce x509 pubkey gmp xcbc hmac kernel-netlink socket-default stroke updown
Adrese IP de ascultare:
192.168.18.1
20.0.0.115
10.129.170.132
Conexiuni:
vpn3: 10.129.170.132...103.44.119.90 IKEv2, dpddelay=30s
vpn3: local: [10.129.170.132] folosește autentificarea cheii pre-partajate
vpn3: la distanță: [103.44.119.90] folosește autentificarea cu cheie pre-partajată
vpn3: copil: 192.168.18.0/24 === 192.168.100.0/24 TUNNEL, dpdaction=restart
Asociații de securitate (1 în sus, 0 conexiuni):
vpn3[1]: INSTALAT acum 5 minute, 10.129.170.132[10.129.170.132]...103.44.119.90[103.44.119.90]
vpn3[1]: SPI-uri IKEv2: e0ed3277e33b4d3a_i* 8f061450adb08c76_r, reautentificare cheie pre-partajată în 7 ore
vpn3[1]: propunere IKE: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
vpn3{1}: INSTALAT, TUNNEL, reqid 1, ESP în UDP SPI-uri: c300f0e5_i c148ff6a_o
vpn3{1}: AES_CBC_128/HMAC_SHA1_96, 0 bytes_i, 22764 bytes_o (271 pkts, acum 62s), reintroducere în 7 ore
vpn3{1}: 192.168.18.0/24 === 192.168.100.0/24
IP Route List tabelul 220
192.168.100.0/24 prin 10.64.64.64 dev 3g-sim proto static src 192.168.18.1
traseul -n
Tabelul de rutare IP al nucleului
Destination Gateway Genmask Flags Metric Ref Utilizare Iface
0.0.0.0 20.0.0.2 0.0.0.0 UG 1 0 0 eth0.2
0.0.0.0 10.64.64.64 0.0.0.0 UG 2 0 0 3g-sim
10.64.64.64 0.0.0.0 255.255.255.255 UH 0 0 0 3g-sim
20.0.0.0 0.0.0.0 255.255.255.0 U 1 0 0 eth0.2
192.168.18.0 0.0.0.0 255.255.255.0 U 0 0 0 br-lan
cat /etc/config/firewall
valorile implicite de configurare
ieșire opțiune „ACCEPT”
opțiunea synflood_protect „1”
opțiunea de intrare „ACCEPT”
opțiunea înainte „ACCEPT”
zona de configurare
numele opțiunii „lan”
ieșire opțiune „ACCEPT”
opțiunea de intrare „ACCEPT”
opțiunea înainte „ACCEPT”
listează rețeaua „lan”
zona de configurare
numele opțiunii „wan”
ieșire opțiune „ACCEPT”
opțiunea mtu_fix „1”
opțiunea de intrare „ACCEPT”
opțiunea înainte „ACCEPT”
listează rețeaua „wan”
listează rețeaua „sim”
opțiune masq '1'
redirecționarea configurației
opțiunea src 'lan'
opțiunea dest 'wan'
regula de configurare
numele opțiunii „Allow-DHCP-Renew”
opțiunea src 'wan'
opțiune proto 'udp'
opțiune dest_port '68'
opțiune țintă „ACCEPT”
familia de opțiuni „ipv4”
regula de configurare
numele opțiunii „Allow-Ping”
opțiunea src 'wan'
opțiunea proto 'icmp'
opțiunea icmp_type 'echo-request'
familia de opțiuni „ipv4”
opțiune țintă „ACCEPT”
regula de configurare
numele opțiunii „Allow-IGMP”
opțiunea src 'wan'
opțiune proto 'igmp'
familia de opțiuni „ipv4”
opțiune țintă „ACCEPT”
regula de configurare
numele opțiunii „Allow-DHCPv6”
opțiunea src 'wan'
opțiune proto 'udp'
opțiunea src_ip „fc00::/6”
opțiunea dest_ip „fc00::/6”
opțiunea dest_port '546'
familia de opțiuni „ipv6”
opțiune țintă „ACCEPT”
regula de configurare
numele opțiunii „Allow-MLD”
opțiunea src 'wan'
opțiune proto 'icmp'
opțiunea src_ip „fe80::/10”
listă icmp_type „130/0”
listă icmp_type „131/0”
listă icmp_type „132/0”
listă icmp_type „143/0”
familia de opțiuni „ipv6”
opțiune țintă „ACCEPT”
regula de configurare
numele opțiunii „Allow-ICMPv6-Input”
opțiunea src 'wan'
opțiunea proto 'icmp'
listă icmp_type 'echo-request'
listă icmp_type „echo-reply”
list icmp_type 'destination-unreachable'
list icmp_type 'pachet-prea-mare'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'tip-antet-necunoscut'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
listă icmp_type 'router-publicitate'
list icmp_type 'vecin-reclamă'
limita opțiunii „1000/sec”
familia de opțiuni „ipv6”
opțiune țintă „ACCEPT”
regula de configurare
numele opțiunii „Allow-ICMPv6-Forward”
opțiunea src 'wan'
opțiunea dest '*'
opțiunea proto 'icmp'
listă icmp_type 'echo-request'
listă icmp_type „echo-reply”
list icmp_type 'destination-unreachable'
list icmp_type 'pachet-prea-mare'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'tip-antet-necunoscut'
limita opțiunii „1000/sec”
familia de opțiuni „ipv6”
opțiune țintă „ACCEPT”
regula de configurare
numele opțiunii „Allow-IPSec-ESP”
opțiunea src 'wan'
opțiunea dest 'lan'
opțiune proto 'esp'
opțiune țintă „ACCEPT”
regula de configurare
numele opțiunii „Allow-ISAKMP”
opțiunea src 'wan'
opțiunea dest 'lan'
opțiune dest_port '500'
opțiune proto 'udp'
opțiune țintă „ACCEPT”
config include
calea opțiunii „/etc/firewall.user”
zona de configurare
numele opțiunii „vpn”
ieșire opțiune „ACCEPT”
opțiunea de intrare „ACCEPT”
opțiunea înainte „ACCEPT”
opțiunea mtu_fix „1”
regula de configurare „ipsec_nat”
opțiune țintă „ACCEPT”
numele opțiunii „IPsec NAT-T”
opțiunea src 'wan'
opțiune proto 'udp'
opțiunea dest_port '4500'
redirecționarea configurației
opțiunea dest „vpn”
opțiunea src 'lan'
redirecționarea configurației
opțiunea dest 'lan'
opțiunea src „vpn”
regula IPtable
iptables -t nat -I POSTROUTING -m policy --pol ipsec --dir out -j ACCEPT
Un lucru pe care l-am observat este că, ori de câte ori apesez comanda ifdown wan, primesc răspunsul ping. Cred că traficul meu trece prin ruta implicită, nu prin IPSec.
Te rog ajuta-ma.
