iptables настройка strongswan ubuntu 16.04 VM

0

Я хочу настроить туннель VPN с помощью StrongSwan, чтобы сделать мой VM Linux в качестве маршрутизатора. Иллюстрация выглядит следующим образом:

  1. У меня есть сервер с Public IP 111.111.111.111. Внутри я установил Ubuntu 16.04 VM с IP 192.168.100.3 и сегментом 192.168.100.0/24

  2. Существует клиентский сервер с Public IP 222.222.222.222 и частная сеть 172.100.3.0/24. Этот сервер разрешает IP 111.111.111.111 устанавливать соединение.

После установления соединения 2-й сервер предоставит 111.111.111.111 частную сеть 172.102.2.0/24. Я использую strongswan внутри Ubuntu VM 192.168.100.3

Это ipsec.conf

config setup
    uniqueids=never
conn %default
    authby=secret
    type=tunnel
conn test1-vpn
    keyexchange=ikev1
    left=192.168.100.3
    leftid=111.111.111.111
    leftsubnet=172.102.2.0/24
    leftfirewall=yes
    right=222.222.222.222
    rightsubnet=172.100.3.0/24
    auto=route
    ike=aes256-sha1-modp2048!
    ikelifetime=28800s
    esp=aes256-sha1-modp2048!
    lifetime=3600s
    type=tunnel

ipsec up test1-vpn успешно Это мой iptables -L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     udp  --  anywhere             anywhere             udp dpt:isakmp
ACCEPT     udp  --  anywhere             anywhere             udp dpt:ipsec-nat-t
ACCEPT     esp  --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  172.100.3.0/24       172.102.2.0/24       policy match dir in pol ipsec reqid 1 proto esp
ACCEPT     all  --  172.102.2.0/24       172.100.3.0/24     policy match dir out pol ipsec reqid 1 proto esp

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Это мои таблицы postrouting

Chain POSTROUTING (policy ACCEPT 1 packets, 84 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            policy match dir out pol ipsec
2        0     0 SNAT       all  --  *      eth+    0.0.0.0/0            0.0.0.0/0            to:101.100.177.228
3        0     0 ACCEPT     all  --  *      eth+    172.100.3.0/24      0.0.0.0/0            policy match dir out pol ipsec
4        0     0 MASQUERADE  all  --  *      eth+    172.100.3.0/24      0.0.0.0/0
5        0     0 MASQUERADE  all  --  *      eth+    172.102.2.0/24       0.0.0.0/0
6        0     0 ACCEPT     all  --  *      eth+    172.102.2.0/24       0.0.0.0/0            policy match dir out pol ipsec
7        0     0 SNAT       all  --  *      eth+    0.0.0.0/0            0.0.0.0/0            to:101.100.177.228
8        0     0 MASQUERADE  all  --  *      *       172.100.3.0/24      172.102.2.0/24
9        0     0 MASQUERADE  all  --  *      *       172.102.2.0/24       192.168.100.0/24
10       3   204 MASQUERADE  all  --  *      *       192.168.100.0/24     172.102.2.0/24
11       0     0 MASQUERADE  all  --  *      *       172.100.3.0/24      172.102.2.0/24
12       1    84 MASQUERADE  all  --  *      *       192.168.100.3        111.111.111.111

Мои ifconfig возвратили только ensl8 и lo . Я также уже поставил ipv4 forwarding

Когда я ping на клиентский сервер, я получил недопустимый хост. Когда я traceroute , он тоже недостижим. Извините, если мое объяснение сбивает с толку, но это мой первый раз. Я знаю, что это должно быть что-то не так с моими iptables.

    
задан Julian Gerry 10.06.2018 в 00:40
источник

0 ответов