从Ubuntu 18.04连接IPSec IKEv2的问题

问题描述 投票:1回答:1

[有一台装有Ubuntu 18.04的计算机,它位于NAT路由器后面,并在子网192.168.1.0/24中接收地址。例如192.168.1.11

我使用IPSec IKEv2]协议从这台计算机连接到VPN服务器,但是systemctl start strongswanipsec start都没有建立连接,我只能以一种方式进行连接:

sudo charon-cmd --cert ca-cert.pem --host vpn_domain_or_IP --identity your_username

[连接后,我从VPN服务器10.10.10.0/24上的NAT子网获取地址,例如10.10.10.11 VPN正常工作,所有流量都通过隧道。但是到本地网络的连接完全消失,从子网192.168.1.0/24到地址192.168.1.11以及从我的计算机到任何子网地址192.168.1.0/24的请求都没有通过

输出ip a

3: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 18:d6:c7:14:ff:04 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.11/24 brd 192.168.1.255 scope global dynamic noprefixroute eth0
        valid_lft 562sec preferred_lft 562sec
15: ipsec0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1400 qdisc fq_codel state UNKNOWN group default qlen 500
    link/none 
    inet 10.10.10.11/32 scope global ipsec0
        valid_lft forever preferred_lft forever
    inet6 fe80::5b2:78:42:d7/64 scope link stable-privacy 
        valid_lft forever preferred_lft forever

Ping
:~# ping 192.168.1.11
PING 192.168.1.11 (192.168.1.11) 56(84) bytes of data.
64 bytes from 192.168.1.11: icmp_seq=1 ttl=64 time=0.071 ms
64 bytes from 192.168.1.11: icmp_seq=2 ttl=64 time=0.070 ms
64 bytes from 192.168.1.11: icmp_seq=3 ttl=64 time=0.069 ms
64 bytes from 192.168.1.11: icmp_seq=4 ttl=64 time=0.072 ms
64 bytes from 192.168.1.11: icmp_seq=5 ttl=64 time=0.067 ms
^C
--- 192.168.1.11 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4075ms
rtt min/avg/max/mdev = 0.067/0.069/0.072/0.010 ms

:~# ping 192.168.1.1
PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
^C
--- 192.168.1.1 ping statistics ---
6 packets transmitted, 0 received, 100% packet loss, time 5105ms

所有配置都与此resource相同。

[有一台装有Ubuntu 18.04的计算机,它位于NAT路由器后面,并在子网192.168.1.0/24中接收地址。例如,192.168.1.11我从这台计算机连接到VPN ...

networking vpn iptables ipsec ufw
1个回答
0
投票

所引用的资源已设置为leftsubnet=0.0.0.0/0。这导致VPN连接默认通过VPN路由所有路由。最简单的是您是否可以更改它。我也想这样做(因此,请在该列表中添加所有公共范围,并忽略私有范围,也许除了特殊的私有范围之外还可以访问服务器LAN)。否则,您必须在“手动”连接客户端时管理本地路由。 (如果双方都使用strongwan,应该有可能在不完全破坏SA的情况下将其缩小到第八个方面,但不确定在strongswan客户端和服务器之间使用IKEv1指定多个子网是否适用,或者不确定是否需要定义多个SA。) >

关于“建立连接的唯一方法” ...我想知道这是否意味着您确实拥有示例配置(ipsec.conf中的ike2-rw)并启动了守护程序,但它不起作用-但该示例正在处理服务器。我在Ubuntu 18.04服务器端(VPN网关)上的Strongswan遇到问题,它正在连接,但连接没有建立。我没有尝试的客户端。但是我发现Ubuntu 18.04软件包已损坏(或者是在几个月前),并升级了我的Ubuntu。使用19.04时,它就像一个魅力。 (您针对strongswan服务说的日志和syslog是什么?或者,当您尝试根据文档启动客户端时,最好使用/var/log/charon.log?)

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.