我已经使用L2TP设置并configuration了CentOS 6.4机器作为站点到站点VPN的一部分。 CentOS将连接到不同位置的路由器。 我可以通过VPN成功连接这两个站点。
IP设置如下:
Router VPN IP: 10.125.141.1 Router Side Clients IP Range: 192.168.0.0 CentOS eth0 (External): 172.66.66.21 CentOS eth1 & VPN IP (Internal): 10.125.141.2 CentOS Side Client IP Range: 10.125.141.0 路由器添加了静态路由,192.168.0.0客户端可以通过VPN隧道与10.125.141.0地址范围通信。
我可以从路由器端的客户端(192.168.0.22)成功ping通一个CentOS客户端(10.125.141.3)。
我可以在CentOS服务器端从客户端机器(10.125.141.3)ping通Router IP(10.125.141.1)。
从新鲜的iptable我有以下规则:
# enable masquerading to allow LAN internet access iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT #Allow ipsec traffic iptables -A INPUT -m policy --dir in --pol ipsec -j ACCEPT iptables -A FORWARD -m policy --dir in --pol ipsec -j ACCEPT #Do not NAT VPN traffic iptables -t nat -A POSTROUTING -m policy --dir out --pol none -j MASQUERADE #Forward rules for VPN iptables -A FORWARD -i ppp+ -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT #Ports for Openswan / xl2tpd iptables -A INPUT -i eth0 -m policy --dir in --pol ipsec -p udp --dport 1701 -j ACCEPT iptables -A INPUT -i eth0 -p udp --dport 500 -j ACCEPT iptables -A INPUT -i eth0 -p udp --dport 4500 -j ACCEPT
在这里启用IP转发:
/proc/sys/net/ipv4/ip_forward
当我从CentOS上的客户端运行traceroute时,它在CentOS服务器上停止运行。
tracert 192.168.0.22 Tracing route to 192.168.10.222 over a maximum of 30 hops 1 <1 ms <1 ms <1 ms 10.125.141.2 2 * * * Request timed out.
我的问题是我错过了什么使我能够从CentOS客户端ping 192.168.0.0范围?