AOA,我有兩個客戶端,一個是遠端的,另一個是本地的,但都在同一LAN 即(192.168.137.0/24)上,而實現Strongswan 的UBuntu 伺服器透過乙太網路電纜相互連接,連接埠位址為10.10.3.10 和分別為 10.10.3.11,同時連接到連接埠位址分別為 192.168.137.10 和 11 的裝置。
但是,當隧道建立後,設備可以互相 ping 通,但子網路卻不能。
我應該添加一些路線嗎?配置:
客戶端1(192.168.137.19)-----(192.168.137.10)設備1(10.10.3.10)=====(10.10.3.11)設備2(192.168.137.11)-----2 (192.168.137.20) )
ipsec.conf 設備1
'config setup
charondebug="all"
uniqueids=yes
strictcrlpolicy=no
conn %default
conn TUFAAN
type=tunnel
auto=start
keyexchange=ikev2
authby=secret
left=10.10.3.10
leftsubnet=192.168.137.0/24
right=10.10.3.11
rightsubnet=192.168.137.0/24
ike=aes256-sha1-modp1024!
esp=aes256-sha1!
aggressive=no
keyingtries=%forever
ikelifetime=28800s
lifetime=3600s
dpddelay=30s
dpdtimeout=120s
dpdaction=restart'
ipsec.conf 設備2
'config setup
charondebug="all"
uniqueids=yes
strictcrlpolicy=no
conn %default
conn TUFAAN
type=tunnel
auto=start
keyexchange=ikev2
authby=secret
left=10.10.3.11
leftsubnet=192.168.137.0/24
right=10.10.3.10
rightsubnet=192.168.137.0/24
ike=aes256-sha1-modp1024!
esp=aes256-sha1!
aggressive=no
keyingtries=%forever
ikelifetime=28800s
lifetime=3600s
dpddelay=30s
dpdtimeout=120s
dpdaction=restart'
答案1
你的左子網和你的右子網是同一個子網路;資料包如何知道要去哪裡?當一個子網路上的一台裝置(在這種情況下,哪個裝置並不重要)嘗試 ping 192.168.137.8 時,為什麼它會穿越 VPN 來執行此操作,而不是留在自己的衝突域中?
同時,Strongswan VPN 伺服器的實際 IP 位址更容易混淆;它們都是同一衝突域的成員,並且在該域內具有唯一的 IP 位址,即 10.10.3.10 和 11。