我们在将 Strongswan 配置到思科路由器时遇到问题。
连接已建立,但我无法正确获取路由。远程路由器后面有多个网络(由供应商运营),我们需要获取来自的 IP 以匹配其分配的范围(以便路由回我们)。
ipsec status shows the connection:
000 "vpn": 10.10.0.42/32===12.34.56.78[12.34.56.78]:47/0---12.34.56.80...78.56.34.12[78.56.34.12]:47/0===10.10.254.1/32; erouted; eroute owner: #31
000 "vpn": newest ISAKMP SA: #29; newest IPsec SA: #31;
000
000 #31: "vpn" STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 2886s; newest IPSEC; eroute owner
000 #31: "vpn" [email protected] (0 bytes) [email protected] (1872 bytes, 1s ago); tunnel
000 #29: "vpn" STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 81890s; newest ISAKMP
000
ip route show table 220
10.10.254.1 via 12.34.56.80 dev eth1 src 10.10.0.42
我们需要到达段 10.20.1.0、10.20.5.0 和 10.20.6.0,并且似乎来自 10.10.2.2-254
我们的内部范围是 10.1.0.0/32(iptables snat?)
拼写错误 - 他们想让我们看起来像是从 10.10.2.2 到 10.10.2.254,上面写错了。
这是 ipsec.conf,我确实在 rightsubnet 线上尝试了多个段,但它们从未出现在表 220 中。我不确定我是否理解该路由如何与正常路由交互。
config setup
plutodebug=control
# plutodebug=all
plutostart=yes
charondebug=none
charonstart=no
conn cme-vpn
ikelifetime=86400s
keylife=3600s
rekeymargin=3m
keyingtries=1
keyexchange=ikev1
authby=secret
ike=3des-md5-modp1024
esp=3des-md5
right=78.56.34.12
rightsubnet=10.10.254.1/32
rightprotoport=47/0
left=%defaultroute
leftsourceip=10.10.0.42
leftprotoport=47/0
leftfirewall=yes
auto=add
pfs=no