[有一台装有Ubuntu 18.04的计算机,它位于NAT路由器后面,并在子网192.168.1.0/24
中接收地址。例如192.168.1.11
我使用IPSec IKEv2]协议从这台计算机连接到VPN服务器,但是systemctl start strongswan
和ipsec start
都没有建立连接,我只能以一种方式进行连接:
sudo charon-cmd --cert ca-cert.pem --host vpn_domain_or_IP --identity your_username
[连接后,我从VPN服务器
10.10.10.0/24
上的NAT子网获取地址,例如10.10.10.11
VPN正常工作,所有流量都通过隧道。但是到本地网络的连接完全消失,从子网192.168.1.0/24
到地址192.168.1.11
以及从我的计算机到任何子网地址192.168.1.0/24
的请求都没有通过
输出ip a
:
3: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 link/ether 18:d6:c7:14:ff:04 brd ff:ff:ff:ff:ff:ff inet 192.168.1.11/24 brd 192.168.1.255 scope global dynamic noprefixroute eth0 valid_lft 562sec preferred_lft 562sec 15: ipsec0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1400 qdisc fq_codel state UNKNOWN group default qlen 500 link/none inet 10.10.10.11/32 scope global ipsec0 valid_lft forever preferred_lft forever inet6 fe80::5b2:78:42:d7/64 scope link stable-privacy valid_lft forever preferred_lft forever
Ping
:~# ping 192.168.1.11 PING 192.168.1.11 (192.168.1.11) 56(84) bytes of data. 64 bytes from 192.168.1.11: icmp_seq=1 ttl=64 time=0.071 ms 64 bytes from 192.168.1.11: icmp_seq=2 ttl=64 time=0.070 ms 64 bytes from 192.168.1.11: icmp_seq=3 ttl=64 time=0.069 ms 64 bytes from 192.168.1.11: icmp_seq=4 ttl=64 time=0.072 ms 64 bytes from 192.168.1.11: icmp_seq=5 ttl=64 time=0.067 ms ^C --- 192.168.1.11 ping statistics --- 5 packets transmitted, 5 received, 0% packet loss, time 4075ms rtt min/avg/max/mdev = 0.067/0.069/0.072/0.010 ms :~# ping 192.168.1.1 PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data. ^C --- 192.168.1.1 ping statistics --- 6 packets transmitted, 0 received, 100% packet loss, time 5105ms
所有配置都与此resource相同。
[有一台装有Ubuntu 18.04的计算机,它位于NAT路由器后面,并在子网192.168.1.0/24中接收地址。例如,192.168.1.11我从这台计算机连接到VPN ...
所引用的资源已设置为leftsubnet=0.0.0.0/0
。这导致VPN连接默认通过VPN路由所有路由。最简单的是您是否可以更改它。我也想这样做(因此,请在该列表中添加所有公共范围,并忽略私有范围,也许除了特殊的私有范围之外还可以访问服务器LAN)。否则,您必须在“手动”连接客户端时管理本地路由。 (如果双方都使用strongwan,应该有可能在不完全破坏SA的情况下将其缩小到第八个方面,但不确定在strongswan客户端和服务器之间使用IKEv1指定多个子网是否适用,或者不确定是否需要定义多个SA。) >
关于“建立连接的唯一方法” ...我想知道这是否意味着您确实拥有示例配置(ipsec.conf中的ike2-rw)并启动了守护程序,但它不起作用-但该示例正在处理服务器。我在Ubuntu 18.04服务器端(VPN网关)上的Strongswan遇到问题,它正在连接,但连接没有建立。我没有尝试的客户端。但是我发现Ubuntu 18.04软件包已损坏(或者是在几个月前),并升级了我的Ubuntu。使用19.04时,它就像一个魅力。 (您针对strongswan服务说的日志和syslog是什么?或者,当您尝试根据文档启动客户端时,最好使用/var/log/charon.log?)