StrongSwan Хост не может связаться с клиентами (с двойным NAT)
Я успешно установил туннель VPN Ikev2 с помощью гибкого VPN-клиента Win10 Pro и сервера StrongSwan в Linux. Клиент может пинговать сервер strongswan (192.168.0.11) и любые другие машины в сети 192.168.0.0/24. Но сервер StrongSwan не может пинговать / пинговать подключенный RoadWarrior. Таким образом, некоторые программы не работают, поскольку они не могут связаться с клиентом.
Моя сетевая настройка:
Win10 (192.168.0.10/VirtualIP:192.168.0.100) === (192.168.0.1) Fritz Router # 1 (91.13.xx by Интернет-провайдер) === ИНТЕРНЕТ === (217.94.xx от ISP) Fritz Router # 2 (192.168.0.1) === (192.168.0.11) StrongSwan Server
ipsec.conf:
conn %default
ikelifetime = 60m
keylife = 20m
rekeymargin = 3m
keyingentries = 1
keyexchange = ikev2
rekey = no
conn vpn
left = 192.168.0.11
leftsubnet = 192.168.0.0/24
leftauth = pubkey
leftcert = server1_Host_cert.pem
right = %any
rightauth = eap-mschapv2
rightsendcert = never
rightsourceip = 192.168.0.100
eap_identity = %any
auto = add
include /var/lib/strongswan/ipsec.conf.inc
ip route show table 220:
192.168.0.100 via 192.168.0.1 dev eth0 proto static src 192.168.0.11
ip xfrm policy:
src 192.168.0.100/32 dst 192.168.0.0/24
dir fwd priority 2851 ptype main
tmpl src 91.13.x.x dst 192.168.0.11
proto esp reqid 8 mode tunnel
src 192.168.0.100/32 dst 192.168.0.0/24
dir in priority 2851 ptype main
tmpl src 91.13.x.x dst 192.168.0.11
proto esp reqid 8 mode tunnel
src 192.168.0.0/24 dst 192.168.0.100/32
dir out priority 2851 ptype main
tmpl src 192.168.0.11 dst 91.13.x.x
proto esp reqid 8 mode tunnel
Маршрутизатор Fritz №2 использует брандмауэр в сети хоста. ESP, UDP500 и UDP4500 перенаправляются на сервер strongswan. Сам сервер не использует iptables (политика ACCEPT).
Спасибо за вашу помощь.
Решено: по какой-то причине брандмауэр Windows отключил мое правило intranet: allow. Таким образом, он заблокировал ping и arping в сети VPN. После повторного ввода правила (источник: 192.168.0.0/24 == разрешить) оно сработало.