信息:我有以下设置,将我的数字海洋环境连接到我的本地网络。使用网络 A 网关上的 strongswan,我与网络 B 上的 meraki 建立了站点到站点 VPN 连接。
拓扑:
Digital Ocean Cisco Meraki
Network A Network B
Client 1 Gateway Gateway Client 2
vpn
10.124.16.3 ----> 10.124.16.2 ====== 192.168.14.3 <---- 192.168.14.10
xx.xx.xx.xx xx.xx.xx.xx
| |
| |
no firewall firewall
问题: 只要我不在 digital ocean 网络上的网关机器上应用防火墙,此配置就可以正常工作。没有防火墙,客户端 1 和客户端 2 可以相互通信。
当 Digital Ocean 应用防火墙后,它们就无法再互相访问。即使防火墙完全打开(接受所有端口上的所有 tcp 和 udp)。由于所有端口都已打开,并且隧道通过 WAN 进行通信,因此 VPN 隧道不受影响。
问题: 有人知道为什么使用完全开放的防火墙会阻止私有网络通信吗?两个网络上的所有其他通信都正常,只是子网无法在网络之间通信。
编辑:网络 A 的防火墙配置不幸的是,Digital Ocean 没有为其云防火墙提供日志记录。
inbound
protocol:icmp,address:0.0.0.0/0,address:::/0
protocol:tcp,ports:0,address:0.0.0.0/0,address:::/0
protocol:udp,ports:0,address:0.0.0.0/0,address:::/0
outbound
protocol:icmp,address:0.0.0.0/0,address:::/0
protocol:tcp,ports:0,address:0.0.0.0/0,address:::/0
protocol:udp,ports:0,address:0.0.0.0/0,address:::/0
答案1
如果您的防火墙不允许ESP和AH协议,IPSec可以使用NAT 遍历。strongswan和 Cisco 都应该能够检测到限制性防火墙,但仅限于建立连接时。如果您稍后启用防火墙,那么您的流量就会停止。您需要重新启动连接才能启用 NAT 遍历。如果仍然不起作用,您可以通过ESP-in-UDP添加forceencaps = yes到配置中的连接配置strongswan。