Вопросы Теги

Strongswan: клиенты могут соединиться с сервером, но никаким доступом в Интернет

Я настроил ipsec сервер, и через некоторое время я мог соединиться с ним от своего устройства на базе Android. но в стороне клиента нет никакого интернет-соединения. Я также добавил правила NAT передать трафик от виртуального дюйм/с, но все еще проблема существует. как я могу найти и решить проблему?:(

сервер: /etc/ipsec.conf

conn android
    keyexchange=ikev2
    ike=aes256-sha1-modp1024,aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp4096,aes256-sha256-modp4096,aes256-sha1-modp4096,aes128-sha256-modp1536,aes128-sha1-modp1536,aes256-sha384-modp2048,aes256-sha256-modp2048,aes256-sha1-modp2048,aes128-sha256-modp1024,aes128-sha1-modp1024,aes256-sha384-modp1536,aes256-sha256-modp1536,aes256-sha1-modp1536,aes256-sha384-modp1024,aes256-sha256-modp1024!
    esp=aes256-sha1,aes128gcm16-ecp256,aes256gcm16-ecp384,aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp4096,aes256-sha256-modp4096,aes256-sha1-modp4096,aes128-sha256-modp1536,aes128-sha1-modp1536,aes256-sha384-modp2048,aes256-sha256-modp2048,aes256-sha1-modp2048,aes128-sha256-modp1024,aes128-sha1-modp1024,aes256-sha384-modp1536,aes256-sha256-modp1536,aes256-sha1-modp1536,aes256-sha384-modp1024,aes256-sha256-modp1024,aes256-sha1-modp1024,aes128gcm16,aes256gcm16,aes128-sha256,aes128-sha1,aes256-sha384,aes256-sha256!
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=example.com
    leftfirewall=yes
    leftauth=pubkey
    leftsubnet=0.0.0.0/0
    leftcert=example.com.crt
    lefthostaccess=yes
    right=%any
    rightfirewall=yes
    rightauth=eap-mschapv2
    rightsendcert=never
    rightsubnet=192.168.31.0/24
    rightsourceip=192.168.31.0/24
    rightdns=8.8.8.8
    eap_identity=%any
    type=tunnel
    auto=add

IP xfrm политика

src 192.168.31.0/24 dst 0.0.0.0/0 
        dir fwd priority 1955 
        tmpl src x.x.x.x dst y.y.y.y
        proto esp reqid 2 mode tunnel
src 192.168.31.0/24 dst 0.0.0.0/0 
        dir in priority 1955 
        tmpl src x.x.x.x dst y.y.y.y
        proto esp reqid 2 mode tunnel
src 0.0.0.0/0 dst 192.168.31.0/24 
        dir out priority 1955 
        tmpl src y.y.y.y dst x.x.x.x
        proto esp reqid 2 mode tunnel
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket in priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket out priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket in priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket out priority 0 
src ::/0 dst ::/0 
        socket in priority 0 
src ::/0 dst ::/0 
        socket out priority 0 
src ::/0 dst ::/0 
        socket in priority 0 
src ::/0 dst ::/0 
        socket out priority 0

клиент: клиент VPN strongswan для андроида

0
задан 16 September 2015 в 10:37
2 ответа

Наконец я нашел проблему. добавление правила FORWARD к iptables решило мою проблему.

2
ответ дан 4 December 2019 в 13:46

Возможно, вам потребуется настроить NAT и включить переадресацию в ядре. Следующие две команды делают это:

sudo iptables -t nat -A POSTROUTING -o YOUR_INTERFACE_NAME -j MASQUERADE
sudo sysctl -w net.ipv4.ip_forward=1
sudo sysctl -w net.ipv4.conf.all.forwarding=1

Первая добавляет правило NAT в цепочку POSTROUTING (подробнее здесь), вторая/третья включает настройку, позволяющую серверу выполнять любую переадресацию.

Обратите внимание, что они не сохранятся после перезагрузки без изменения sysctl.conf. Подробнее здесь

0
ответ дан 19 October 2021 в 17:52

Теги

Похожие вопросы