AOA,我有两个客户端,一个是远程的,另一个是本地的,但都在同一 LAN 即(192.168.137.0/24)上,而实现 Strongswan 的 UBuntu 服务器通过以太网电缆相互连接,端口地址为 10.10.3.10 和分别为 10.10.3.11,同时连接到端口地址分别为 192.168.137.10 和 11 的设备。
但是,当隧道建立后,设备可以互相 ping 通,但子网却不能。
我应该添加一些路线吗?配置:
客户端1(192.168.137.19)-----(192.168.137.10)设备1(10.10.3.10)=====(10.10.3.11)设备2(192.168.137.11)-----客户端2(192.168.137.20) )
ipsec.conf 设备1
'config setup
charondebug="all"
uniqueids=yes
strictcrlpolicy=no
conn %default
conn TUFAAN
type=tunnel
auto=start
keyexchange=ikev2
authby=secret
left=10.10.3.10
leftsubnet=192.168.137.0/24
right=10.10.3.11
rightsubnet=192.168.137.0/24
ike=aes256-sha1-modp1024!
esp=aes256-sha1!
aggressive=no
keyingtries=%forever
ikelifetime=28800s
lifetime=3600s
dpddelay=30s
dpdtimeout=120s
dpdaction=restart'
ipsec.conf 设备2
'config setup
charondebug="all"
uniqueids=yes
strictcrlpolicy=no
conn %default
conn TUFAAN
type=tunnel
auto=start
keyexchange=ikev2
authby=secret
left=10.10.3.11
leftsubnet=192.168.137.0/24
right=10.10.3.10
rightsubnet=192.168.137.0/24
ike=aes256-sha1-modp1024!
esp=aes256-sha1!
aggressive=no
keyingtries=%forever
ikelifetime=28800s
lifetime=3600s
dpddelay=30s
dpdtimeout=120s
dpdaction=restart'
答案1
你的左子网和你的右子网是同一个子网;数据包如何知道去哪里?当一个子网上的一台设备(在这种情况下,哪个设备并不重要)尝试 ping 192.168.137.8 时,为什么它会穿越 VPN 来执行此操作,而不是留在自己的冲突域中?
同时,Strongswan VPN 服务器的实际 IP 地址更容易混淆;它们都是同一冲突域的成员,并且在该域内具有唯一的 IP 地址,即 10.10.3.10 和 11。