将流量从 IPSec 客户端转发到互联网

将流量从 IPSec 客户端转发到互联网

这就是我想要做的

客户端 1 --- 防火墙 --- IPSec 隧道 --- 服务器 --- 互联网

我希望 CLIENT1 通过 IPSec 隧道与互联网通信

IPSec 隧道在防火墙和服务器之间建立,CLIENT1 流量通过该隧道路由。当我从 CLIENT1 ping 到 Internet IP 时,我可以在 IPSec 服务器上执行 tcpdump icmp,但只是这样,什么都没有转发

在服务器上

-A POSTROUTING -s CLIENT1-IP_ADDRESS -o eth0 -m policy --dir out --pol ipsec -j ACCEPT
-A POSTROUTING -o eth0 -j SNAT --to-source IPSEC-SERVER-IP-ADDRESS

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p udp -m udp --dport 4500 -j ACCEPT
-A FORWARD -i eth0 -m policy --dir in --pol ipsec --proto esp -j ACCEPT
-A FORWARD -o eth0 -m policy --dir out --pol ipsec --proto esp -j ACCEPT

/proc/sys/net/ipv4/ip_forward 肯定是 1

答案1

只需告诉 strongswan 不要 install_routes !!

vim /etc/strongswan.conf

charon {
        load_modular = yes
        install_routes = no
        plugins {
                include strongswan.d/charon/*.conf
        }
}

include strongswan.d/*.conf

相关内容