服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 隧道已经到了,但是我不能ping通
Intereting Posts
我如何在AIX中保护一些Git仓库? IIS出站带宽2008 vs 2012 我无法从NGINX中的URL中获取子域名 保留实例中的连接与实例中的连接有何不同? 如何在IIS中configuration客户端证书身份validation 为什么在使用绝对path时auditd只logging`echo`? 使用AWS的Route53切换CNAME时避免停机 Linux:如何在使用root帐户时查找谁发出特定命令? 使用请求跟踪器进行Active Directory身份validation 无法根据选项参数分配IP地址 CentOS 6将不加载默认(新)内核,而是加载(另一个)较旧的内核 电源和制冷成本与服务器/硬件成本相比较 在域上使用Windows XP模式虚拟机 SQL Server 2005 I / O限制 将计算机从工作组连接到活动目录

隧道已经到了,但是我不能ping通

我需要理解和解决我的问题。 我知道openswan的作品,因为当我从家庭networking与内部IP地址10.0.0.97连接到工作的VPN,我可以ping,但是当我使用公共xFinity WiFi它表明隧道已经到了,但我不能ping我的VPN的内部主机。

当我成功连接到公共Xfinity WiFi时,我的IP是: 

inet addr:10.232.204.146 Bcast:10.255.255.255 Mask:255.224.0.0

这里是路线-n 

 root@ubuntu:/etc# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 10.224.0.1 0.0.0.0 UG 0 0 0 wlan0 0.0.0.0 10.224.0.1 0.0.0.0 UG 0 0 0 wlan0 10.224.0.0 0.0.0.0 255.224.0.0 U 9 0 0 wlan0

当我在这个时候,我可以ping通和浏览互联网。

当我启动ipsec / openswan。 我明白了 

 root@ubuntu:/etc# /etc/init.d/ipsec status IPsec running - pluto pid: 4483 pluto pid 4483 1 tunnels up

但是我不能ping我有192.168.1.xxx IP的内部服务器。

这是我的ipsec.conf 

  config setup dumpdir=/var/run/pluto/ # # NAT-TRAVERSAL support, see README.NAT-Traversal # nat_traversal=yes # exclude networks used on server side by adding %v4:!abc0/24 # It seems that T-Mobile in the US and Rogers/Fido in Canada are # using 25/8 as "private" address space on their 3G network. # This range has not been announced via BGP (at least upto 2010-12-21) virtual_private=%v4:10.0.0.0/8,%v4:192.168.1.0/24,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v6:fd00::/8,%v6:fe80::/10 # OE is now off by default. Uncomment and change to on, to enable. oe=off # which IPsec stack to use. auto will try netkey, then klips then mast #protostack=netkey # Use this to log to a file, or disable logging on embedded systems (like openwrt) plutostderrlog=/var/log/pluto plutodebug="all" protostack=netkey conn work authby=secret auto=start type=tunnel left=10.232.204.146 leftsubnet=10.0.0.0/8 right=99.xx.xx.xx rightsubnet=192.168.1.0/24 ike=aes256-sha1,aes128-sha1,3des-sha1 leftxauthusername=xxxxx

这是我的ipsec.secrets 

 @massivedude : XAUTH "password" 10.232.204.146 vpnserver-01 : PSK "YouWillNeverKnow"

顺便说一句,即使隧道已经启动,我不能ping内部主机,我仍然可以ping yahoo.com和google.com

任何帮助将不胜感激。

由于Comcast在整个networking中使用NAT(您的10.0.0.0/8地址),因此在使用Comcast时,您需要为此连接启用nat_traversal

其原因是因为IPSEC数据包包括包含源地址的整个数据包的散列。 但是,NAT将源地址从10.232.204.146更改为一些您不知道的公有IP,因此现在哈希不再匹配该数据包,而另一端将丢弃数据包,因为它已被篡改(同样来自其他数据包结束将目标地址从任何公共IP更改为10.232.204.146,并被丢弃)。

NAT穿越改变了数据包的发送方式。 encryption数据包不是直接发送数据包,而是封装在一个没有被散列的常规UDP数据包内。 然后,NAT可以更改UDP数据包上的IP地址,以确保它到达需要的地方,而原始的encryption数据包不变,仍然可以validation。

我相信这样封装数据包会有额外的开销,所以最好只在必要时才开启。