IPsec strongswan 在 WAN 接口上创建错误数据包

IPsec strongswan 在 WAN 接口上创建错误数据包

我已经为 IPsec 连接设置了 strongswan(远程 Win10 到我的 Linux 路由器)。IPsec 默认没有接口,但我不想冒险在我的 WAN 接口上暴露 VPN 流量。所以我用 mark (https://wiki.strongswan.org/projects/strongswan/wiki/RouteBasedVPN#Configuration),我看到流量通过这个虚拟接口而不是 WAN。但仍有一些流量通过 WAN 接口。WAN 上的 tcpdump(10.1.0.2 是 Win10 客户端):

IP 10.1.0.2.137 > 255.255.255.255.137: NBT UDP PACKET(137): REGISTRATION; REQUEST; BROADCAST
IP 10.1.0.2.137 > 255.255.255.255.137: NBT UDP PACKET(137): REGISTRATION; REQUEST; BROADCAST
IP 10.1.0.2.137 > 255.255.255.255.137: NBT UDP PACKET(137): REGISTRATION; REQUEST; BROADCAST
IP 10.1.0.2.54995 > 239.255.255.250.3702: UDP, length 1072
IP 10.1.0.2.53313 > 239.255.255.250.1900: UDP, length 137
IP 10.1.0.2.54995 > 239.255.255.250.3702: UDP, length 1072

专用 LAN 向 ISP 接口发送数据包确实很糟糕。这些数据包没有标记,也没有应用 ipsec 策略(iptables -A INPUT/OUTPUT/FORWARD -m policy --dir in/out --pol ipsec -j LOG-DROP-IPSEC看不到它)。按来源过滤

iptables -t mangle -A POSTROUTING -s 10.1.0.2 -j LOG-DROP-IPSEC

不造成任何影响。

这些数据包似乎实际上进入了 WAN 网络:journalctl -k

...
... host *.*.*.*/if2 ignores redirects for 10.1.0.2 to 10.1.0.2
...

这些数据包被注入到哪里以至于 mangle POSTROUTING 无法找到它以及如何阻止它们?

网络图

相关内容