Вопросы Теги

Не удается проверить связь с общедоступными конечными точками при активном туннеле IPSec.

Я использую openswan для соединения двух машин через IPSec. Туннель работает нормально, и у меня есть подключение к каждой конечной точке через VPN.

Однако, когда туннель открыт, я теряю возможность подключения к IP-адресам общедоступных конечных точек. Например, пинговать публичный адрес сайта A 1.2.3.4 с публичного адреса сайта B 4.5.6.7 (и наоборот) не удается.

Когда туннель открыт, я заметил кое-что любопытное, что могло бы объяснить это поведение. 

#ip xfrm policy

src 1.2.3.4/32 dst 4.5.6.7/32 
    dir out priority 2080 ptype main 
    tmpl src 0.0.0.0 dst 0.0.0.0
        proto esp reqid 0 mode transport

Я отрезал выводит результат повторного анализа, поскольку он содержит только логические записи (частные сети, соединенные туннелем).

Есть идеи, что мне не хватает?

0
задан 10 January 2016 в 19:59
1 ответ

Я не совсем знаком с синтаксисом xfrm, но он выглядит так:

  • Когда ваша VPN не работает, у вас есть маршрут по умолчанию в Интернет, поэтому вы можете пропинговать как вы ожидаете
  • Как только VPN работает, правило XFRM по существу добавляет маршрут политики, который отправляет весь трафик через туннель на другой конец. Вероятно, существует эквивалентное правило на другом конце, которое не позволяет запросам ICMP фактически достигать противоположного интерфейса через туннель (создавая своего рода петлю на уровне IP).

Вы можете настроить свою маршрутизацию таким образом, чтобы:

  • ваш маршрут по умолчанию всегда указывает на Интернет
  • вы отправляете только через туннель трафик, исходящий из любых подсетей, находящихся за маршрутизатором (за исключением других интерфейсов маршрутизатора). В качестве альтернативы вы можете добавить статические маршруты (или маршруты политики) для принудительной отправки трафика между двумя общедоступными IP-адресами за пределы туннеля.

Это сводится к тому, что вам нужно иметь способ различать маршрут по умолчанию, как показано от маршрутизатора (к Интернету) и маршрут по умолчанию, наблюдаемый для трафика, исходящего из подсети LAN за маршрутизатором. Часто они совершенно разные.

1
ответ дан 4 December 2019 в 16:43

Теги

Похожие вопросы