我把我的配置弄乱了。
我已经在运行 strongswan 的 AWS Ubuntu VM 和另一个站点之间设置了站点到站点的 VPN。
VPN 隧道正在运行,但每当我尝试通过隧道从其他站点路由流量时,隧道都没有返回任何响应。但请求也可以通过互联网到达 AWS 站点,我不得不允许这样做,以便我可以争取一些时间来正确修复配置。
我知道 iptables 配置很乱,但我不确定要清理什么。
AWS Ubuntu Strongswan ipsec.conf:
config setup
strictcrlpolicy=no
uniqueids=no
charondebug=”ike4, knl4, cfg 2”
conn awsUbuntu-otherSide
auto=add
keyexchange=ikev1
ike=aes256-sha256-modp1024
esp=aes256-sha256
leftid=2.2.2.200
leftsubnet=2.2.2.200/32
left=192.168.2.205
leftsourceip=2.2.2.200
leftfirewall=yes
leftauth=psk
right=1.1.1.50
rightid=1.1.1.50
rightsubnet=1.1.1.52/32
rightauth=psk
ikelifetime=86400s
keylife=3600s
rekeymargin=540s
keyingtries=1
authby=secret
mobike=no
dpdaction=restart
AWS Ubuntu iptables:
# Generated by iptables-save v1.6.0 on Fri May 4 13:15:58 2018
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [92:10960]
-A INPUT -i lo -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p ah -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 500 --dport 500 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 4500 --dport 4500 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 6000 -j ACCEPT
-A INPUT -s 1.1.1.48/29 -j ACCEPT
-A INPUT -p tcp -m policy --dir in --pol ipsec -m tcp --dport 6000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3002 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3014 -j ACCEPT
-A FORWARD -s 1.1.1.52/32 -d 2.2.2.200/32 -i eth0 -m policy --dir in --pol ipsec --reqid 102 --proto esp -j ACCEPT
-A FORWARD -s 2.2.2.200/32 -d 1.1.1.52/32 -o eth0 -m policy --dir out --pol ipsec --reqid 102 --proto esp -j ACCEPT
-A FORWARD -s 1.1.1.52/32 -d 2.2.2.200/32 -i eth0 -m policy --dir in --pol ipsec --reqid 1 --proto esp -j ACCEPT
-A FORWARD -s 2.2.2.200/32 -d 1.1.1.52/32 -o eth0 -m policy --dir out --pol ipsec --reqid 1 --proto esp -j ACCEPT
-A FORWARD -s 1.1.1.50/32 -d 2.2.2.200/32 -i eth0 -m policy --dir in --pol ipsec --reqid 1 --proto esp -j ACCEPT
-A FORWARD -s 2.2.2.200/32 -d 1.1.1.50/32 -o eth0 -m policy --dir out --pol ipsec --reqid 1 --proto esp -j ACCEPT
-A FORWARD -s 1.1.1.50/32 -d 2.2.2.200/32 -i eth0 -m policy --dir in --pol ipsec --reqid 1 --proto esp -j ACCEPT
-A FORWARD -s 2.2.2.200/32 -d 1.1.1.50/32 -o eth0 -m policy --dir out --pol ipsec --reqid 1 --proto esp -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -p esp -j ACCEPT
-A OUTPUT -o eth0 -p ah -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --sport 500 --dport 500 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --sport 4500 --dport 4500 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 6000 -j ACCEPT
-A OUTPUT -d 1.1.1.48/29 -j ACCEPT
-A OUTPUT -p tcp -m policy --dir out --pol ipsec -m tcp --sport 6000 -j ACCEPT
COMMIT
# Completed on Fri May 4 13:15:58 2018
# Generated by iptables-save v1.6.0 on Fri May 4 13:15:58 2018
*nat
:PREROUTING ACCEPT [15231:920394]
:INPUT ACCEPT [368:21952]
:OUTPUT ACCEPT [56:5926]
:POSTROUTING ACCEPT [56:5926]
COMMIT
# Completed on Fri May 4 13:15:58 2018
我已经允许 strongswan 修改防火墙配置,但我认为我缺少的是适当的 nat 规则,以确保隧道流量响应返回隧道。有人能告诉我我做错了什么吗?