我正在使用 strongswan 4.6.4 将 road warriors 连接到我的服务器(ubuntu 13.10),该服务器在防火墙后面进行 natted。
left=%defaultroute
leftsubnet=10.10.1.0/24
right=%any
rightsubnet=10.11.1.0/24
rightsourceip=10.11.1.0/24
“leftsubnet”10.10.1.0/24 也是专用的 VPN 服务网络,服务器本身位于网络 192.168.1.0/24 上,并且在两个网络中都有 IP 地址(192.168.1.2 和 10.10.1.2)。%defaultroute 指向 192.168.1.1。
vpn 本身正在运行,如果 ufw 防火墙没有运行,那么从 road warrior 客户端到服务器的访问就可以正常进行。tcpdump 显示从 10.11.1.1 到 10.10.1.2 的流量。
现在,当启动 ufw 防火墙时,隧道创建仍然有效,但来自 Road Warriors 的流量是经过源和目的地网络地址转换的。
这意味着 tcpdump 显示源 IP 是客户端的公网 IP 而不是虚拟 IP 10.11.1.1,目标 IP 是 192.168.1.2 而不是 10.10.1.2。
当然,iptables中没有nat规则。
我该如何确定问题?据我所知,ufw 仅维护 iptables 规则。当 ufw 处于活动状态时,nat 发生在哪里?
非常感谢!