我正在嘗試為我和第三方供應商之間的站點到站點隧道實施 Strongswan 解決方案。我的隧道在我自己和供應商之間建立得很好,但是我想知道這是否是正確的方法?
當我嘗試遠端登入遠端的特定連接埠/主機時,我沒有看到任何流量到達隧道或我的計數器增加。我想我可能只需要一兩個關於如何診斷的建議。
我有兩個我控制的主機,1.1.1.1 和 1.1.1.2(相同的子網路和外部 IP)。沒有 nat 參與。
1.1.1.1是我的strongswan伺服器
1.1.1.2 正在發送感興趣的流量。它有一條指向 1.1.1.1 的 5.5.5.5/27 靜態路由
5.5.5.5/27是第三方
我的strongswan伺服器:
# cat /etc/sysctl.conf | grep forward
# Controls IP packet forwarding
net.ipv4.ip_forward = 1
config setup
# strictcrlpolicy=yes
# uniqueids = no
conn %default
ikelifetime=1440m
keylife=60m
rekeymargin=3m
keyingtries=1
keyexchange=ikev1
authby=secret
conn vendor
left=1.1.1.1 #strongswan outside address
leftsubnet=1.1.1.2/32 #network behind strongswan
leftid=1.1.1.1 #IKEID sent by strongswan
right=5.5.5.5 #IOS outside address
rightsubnet=5.5.5.5/27 #network behind IOS
rightid=5.5.5.5 #IKEID sent by IOS
auto=add
ike=3des-sha1-modp1024 #P1
esp=3des-sha1 #P2
和我的正在發送流量的伺服器(1.1.1.2)。
# netstat -rn
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
5.5.5.5 1.1.1.1 255.255.255.224 UG 0 0 0 eth0
智慧財產
# ip xfrm policy
src 5.5.5.5/27 dst 1.1.1.2/32
dir fwd priority 2839 ptype main
tmpl src 5.5.5.5 dst 1.1.1.1
proto esp reqid 1 mode tunnel
src 5.5.5.5/27 dst 1.1.1.2/32
dir in priority 2839 ptype main
tmpl src 5.5.5.5 dst 1.1.1.1
proto esp reqid 1 mode tunnel
src 1.1.1.2/32 dst 5.5.5.5/27
dir out priority 2839 ptype main
tmpl src 1.1.1.1 dst 5.5.5.5
proto esp reqid 1 mode tunnel
src 0.0.0.0/0 dst 0.0.0.0/0
dir 3 priority 0 ptype main
src 0.0.0.0/0 dst 0.0.0.0/0
dir 4 priority 0 ptype main
src 0.0.0.0/0 dst 0.0.0.0/0
dir 3 priority 0 ptype main
src 0.0.0.0/0 dst 0.0.0.0/0
dir 4 priority 0 ptype main
src ::/0 dst ::/0
dir 3 priority 0 ptype main
src ::/0 dst ::/0
dir 4 priority 0 ptype main
src ::/0 dst ::/0
dir 3 priority 0 ptype main
src ::/0 dst ::/0
dir 4 priority 0 ptype main