racoon Road Warrior VPN 客户端 - 隧道已建立但无 ping 通

我正在尝试在 Linux 发行版上配置 Road Warrior VPN 客户端。

这是我的配置：

客户端 VPN LINUX - 1.1.1.1 - INTERNET - 2.2.2.2 - 防火墙 - 10.0.0.0/8

我希望在远程网络 10.0.0.0/8 和 VPN 客户端之间创建一个隧道，其地址为 172.16.0.3

我已经使用 TheGreenBow 配置了它并且它运行良好，所以我遇到的问题来自我的客户端配置而不是我的防火墙。

为了在 Linux 上进行此配置，我将使用 racoon。

我修改了文件 /etc/racoon/racoon.conf：

log notify;
path certificate "/etc/racoon/certs";

remote 2.2.2.2 {
    exchange_mode main;

    ca_type x509 "cacert.pem";
    certificate_type x509 "cert.pem" "priv.key";

    my_identifier asn1dn;
    peers_identifier asn1dn;

    doi ipsec_doi;

    verify_cert on;
    ike_frag on;

    proposal_check obey;

    mode_cfg off;
    nat_traversal on;
    lifetime time 21600 sec;

    proposal {
        encryption_algorithm aes256;
        hash_algorithm sha2_256;
        authentication_method rsasig;
        dh_group 5;
    }
    generate_policy off;
}

sainfo anonymous {
    lifetime time 3600 sec;
    pfs_group 2;
    encryption_algorithm aes256;
    authentication_algorithm hmac_sha256;
    compression_algorithm deflate;
}

`

我修改了 /etc/ipsec-tools.conf

spdadd 172.16.0.3/32[any] 10.0.0.0/8[any] any -P out ipsec
    esp/tunnel/1.1.1.1-2.2.2.2/require;

spdadd 10.0.0.0/8[any] 172.16.0.3/32[any] any -P in ipsec
    esp/tunnel/2.2.2.2-1.1.1.1/require;

接下来，我配置了一个虚拟接口来重定向到远程网络的整个流量：

ip link add link eth1 name vlan0 type vlan id 1
ip addr add 172.16.0.3/24 brd 172.16.0.255 dev vlan0
route add -net 10.0.0.0/8 gw 172.16.0.3 dev vlan0

这是我执行“ifconfig”时得到的结果

eth1      Link encap:Ethernet  HWaddr 0c:54:a5:3a:4a:30  
      inet adr:1.1.1.1  Bcast:1.1.1.255  Masque:255.255.255.0
      adr inet6: fe80::e54:a5ff:fe3a:4a30/64 Scope:Lien
      UP BROADCAST RUNNING MULTICAST  MTU:1300  Metric:1
      Packets reçus:20775 erreurs:0 :0 overruns:0 frame:0
      TX packets:17957 errors:0 dropped:0 overruns:0 carrier:0
      collisions:0 lg file transmission:1000 
      Octets reçus:15271974 (15.2 MB) Octets transmis:2688417 (2.6 MB)
      Interruption:17 Mémoire:f7d00000-f7d20000 

lo        Link encap:Boucle locale  
      inet adr:127.0.0.1  Masque:255.0.0.0
      adr inet6: ::1/128 Scope:Hôte
      UP LOOPBACK RUNNING  MTU:65536  Metric:1
      Packets reçus:611 erreurs:0 :0 overruns:0 frame:0
      TX packets:611 errors:0 dropped:0 overruns:0 carrier:0
      collisions:0 lg file transmission:0 
      Octets reçus:71525 (71.5 KB) Octets transmis:71525 (71.5 KB)

vlan0     Link encap:Ethernet  HWaddr 0c:54:a5:3a:4a:30  
      inet adr:172.16.0.3  Bcast:172.16.0.255  Masque:255.255.255.0
      adr inet6: fe80::e54:a5ff:fe3a:4a30/64 Scope:Lien
      UP BROADCAST RUNNING MULTICAST  MTU:1300  Metric:1
      Packets reçus:0 erreurs:0 :0 overruns:0 frame:0
      TX packets:142 errors:0 dropped:0 overruns:0 carrier:0
      collisions:0 lg file transmission:0 
      Octets reçus:0 (0.0 B) Octets transmis:24137 (24.1 KB)

我得到了白色的“路线”

Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
default         1.1.1.1         0.0.0.0         UG    0      0        0 eth1
10.0.0.0        172.16.0.3      255.0.0.0       UG    0      0        0 vlan0
172.16.0.0      *               255.255.255.0   U     0      0        0 vlan0
1.1.1.1         *               255.255.255.0   U     1      0        0 eth1

防火墙告诉我隧道已畅通（第二阶段已建立）。

但是我无法 ping 远程网络（但在 Windows 上可以）。

当我观察防火墙上发生的情况时，我看到 ESP 数据包到达外部接口，但它们没有转发到内部接口（使用 Windows VPN 执行的操作）。

您知道为什么会遇到这个问题吗？