我正在创build一个从Linux机箱到运行标准固件的SonicWall防火墙的IPSec隧道。 似乎隧道似乎已经创build好了,但是从Linux机箱到远程networking的数据包没有被路由到隧道中。 来自远程networking的数据包似乎没有问题。 尝试从Linux机箱到安全远程networking的ping命令将通过正常的路由表进行路由。
查看路由表和caching,192.168.1.0(远程networking)没有条目。 我从文档的期望是隧道政策将插入路线。
任何想法appriciated。
谢谢,布拉德
这是我的conf脚本:
#!/sbin/setkey -f # Configuration for 172.16.89.100 # Flush the SAD and SPD flush; spdflush; add 172.16.89.100 172.20.241.2 ah 0x200 -m tunnel -A hmac-sha1 0xredacted00000000000000000000000000000000; add 172.20.241.2 172.16.89.100 ah 0x300 -m tunnel -A hmac-sha1 0xredacted00000000000000000000000000000000; add 172.16.89.100 172.20.241.2 esp 0x201 -m tunnel -E 3des-cbc 0xredacted0000000000000000000000000000000000000000; add 172.20.241.2 172.16.89.100 esp 0x301 -m tunnel -E 3des-cbc 0xredacted0000000000000000000000000000000000000000; # Security policies spdadd 10.114.89.0/24 192.168.1.0/24 any -P out ipsec esp/tunnel/172.16.89.100-172.20.241.2/require ah/tunnel/172.16.89.100-172.20.241.2/require; spdadd 192.168.1.0/24 10.114.89.0/24 any -P in ipsec esp/tunnel/172.20.241.2-172.16.89.100/require ah/tunnel/172.20.241.2-172.16.89.100/require; #Forward Policy #DOH! iptools > 0.5 do this automatically. #spdadd 192.168.1.0/24 10.114.89.0/24 any -P fwd ipsec # esp/tunnel/172.20.241.2-172.16.89.100/require # ah/tunnel/172.20.241.2-172.16.89.100/require; 如果您在不是Linux机箱默认网关的机箱上运行vpn,则需要在指向正确网关的Linux机箱上添加路由。
检查你的防火墙规则。 您不希望MASQUERADEstream量通过VPN。
你可能已经看过了,但看看Linux IPsec如何 。
你可能也想看看使用浣熊,它可以采取一些痛苦,如果IPSecconfiguration。
1)你不应该需要特殊的路线。 如果你可以不用IPSec进行通讯,你应该保持良好的状态。
2)检查你的防火墙和IPtables。 协议从TCP变为AH和ESP。 这可能会令人困惑(或者是因为我们),因为我们习惯于仅仅考虑TCP / IP。
我有同样的问题,不知道为什么。 我读过的地方,你不应该需要路由条目,因为内核直接通过ipsec安全协会(sa)照顾它。
不过,它应该工作(并为我工作),如果你build立一个静态路线,如:
ip route add 192.168.1.0/24 via 172.16.89.100