我已经成功使用 Win10 Pro 敏捷 VPN 客户端和 Linux StrongSwan 服务器建立了 VPN Ikev2 隧道。客户端能够 ping strongswan 服务器 (192.168.0.11) 和 192.168.0.0/24 网络中的任何其他机器。但 StrongSwan 服务器无法 ping /arping 连接的 RoadWarrior。因此,某些程序会失败,因为它们无法访问客户端。
我的网络设置:
Win10(192.168.0.10/VirtualIP:192.168.0.100)===(192.168.0.1)Fritz 路由器 #1(ISP 提供的 91.13.xx) ===INTERNET=== (ISP 提供的 217.94.xx)Fritz 路由器 #2(192.168.0.1)===(192.168.0.11)StrongSwan 服务器
ipsec.conf:
conn %default
ikelifetime = 60m
keylife = 20m
rekeymargin = 3m
keyingentries = 1
keyexchange = ikev2
rekey = no
conn vpn
left = 192.168.0.11
leftsubnet = 192.168.0.0/24
leftauth = pubkey
leftcert = server1_Host_cert.pem
right = %any
rightauth = eap-mschapv2
rightsendcert = never
rightsourceip = 192.168.0.100
eap_identity = %any
auto = add
include /var/lib/strongswan/ipsec.conf.inc
ip 路由显示表 220:
192.168.0.100 via 192.168.0.1 dev eth0 proto static src 192.168.0.11
ip xfrm 策略:
src 192.168.0.100/32 dst 192.168.0.0/24
dir fwd priority 2851 ptype main
tmpl src 91.13.x.x dst 192.168.0.11
proto esp reqid 8 mode tunnel
src 192.168.0.100/32 dst 192.168.0.0/24
dir in priority 2851 ptype main
tmpl src 91.13.x.x dst 192.168.0.11
proto esp reqid 8 mode tunnel
src 192.168.0.0/24 dst 192.168.0.100/32
dir out priority 2851 ptype main
tmpl src 192.168.0.11 dst 91.13.x.x
proto esp reqid 8 mode tunnel
Fritz Router#2 在主机网络上使用防火墙。ESP、UDP500 和 UDP4500 被转发到 strongswan 服务器。服务器本身不使用 iptables(ACCEPT 策略)。
感谢您的帮助。
答案1
已解决:由于某种原因,Windows 防火墙删除了我的 Intranet:允许规则。因此它阻止了 VPN 网络中的 ping 和 arping。重新输入规则(源:192.168.0.0/24 == 允许)后,它就起作用了。