我有一台 Linux 服务器 (CentOS 5.5),它可以使用固定 IP 地址直接访问互联网。也就是说,IP 地址是 200.29.XY,网关由数据中心 (200.29.XZ) 提供,连接正常。
我需要连接到远程 LAN 上的另一台机器。我们同意通过 VPN 进行连接,因此他们配置了一条隧道(使用预共享密钥的 IPsec),并向我们提供了所有信息(对等体、加密域、第 1 阶段属性和第 2 阶段属性)。
问题是我的计算机不在防火墙后面,而且我无法访问数据中心的防火墙...因此必须在同一台机器上创建防火墙(使用任何 VPN 命令行软件)。
问题是,如果我的机器有防火墙(并配置了 VPN),对等端将是相同的加密域(即对等端和加密域的 IP 地址相同)...
另一部分告诉我这是错误的,使用这种配置,他们的防火墙不知道将响应发送到哪里(因为加密域是同一个对等体)。
为了解决这个问题,我创建了一个名为的虚拟以太网接口,eth0.4
它有一个本地 IP 地址,192.160.0.4;并且我告诉另一部分将其配置为我的加密域,但它仍然不起作用。
进行一些本地测试,从内部虚拟 IP 地址 192.160.0.4,我无法 ping 通我的真实 IP 地址 200.29.XY(ping -I eth0.4 200.29.X.Y
)...我在 iptables 上添加了一些转发规则,但我的内部 IP 地址仍然无法与我的真实 IP 地址通信...所以我认为这个“虚拟本地 IP 地址”不能解决我的问题(除非我添加了一些不正确的转发规则)。
我正在使用 openswan 来配置 VPN,并根据另一方的说法,他们收到了第一阶段的详细信息,它们是正确的,但是答案有问题……所以隧道从未建立(事实上,第一阶段从未完成)。
010 “网络到网络” #1:STATE_MAIN_I1:重新传输;将等待 20 秒以获取响应
010 “网络到网络” #1:STATE_MAIN_I1:重新传输;将等待 40 秒以获取响应
010 “网络到网络” #1:STATE_MAIN_I1:重新传输;将等待 40 秒以获取响应
010 “网络到网络” #1:STATE_MAIN_I1:重新传输;将等待 40 秒以获取响应
031 “net-to-net” #1:已达到最大重传次数 (20) STATE_MAIN_I1。对我们的第一条 IKE 消息没有响应(或没有可接受的响应)
000“网对网”#1:开始进行无限制次数的第 2 次键入尝试,但永远释放重击……
openswan 日志没有给我更多信息(它发送了正确的内容但没有响应),并且 tcpdump 总是告诉我我发送了数据包但没有答复...
有什么建议么?
答案1
如果我理解正确的话,对方说他们无法终止通往配置为隧道数据目标网络的地址的隧道。这取决于他们设备的功能 - 您知道设备来自哪个制造商吗?
无论他们对远程网络定义有何担忧,也无论他们的系统试图将隧道的 ESP 数据包放回隧道时遇到什么问题,他们甚至都没有响应您的第 1 阶段数据包 - 首先需要检查此连接。告诉他们开始响应您的 ISAKMP 数据包,然后在工作正常后处理 IPSec 远程网络。