我已经在路由器(Debian Stretch)上设置了strongswan,并且strongswanconfiguration工作正常,但是仅适用于从路由器发出的连接。
但是,一旦隧道从路由器(下面的192.168.10.0/24)后面的客户端上去,完全失去所有连接。 这意味着它们不再能够访问Internet,也不能通过隧道,甚至ping / telnet / ssh路由器本身(192.168.10.1)。 目标是让这些客户能够通过ASA隧道传输所有stream量,从而访问互联网。
设置如下:
networking(来自左侧局域网的客户端应该让他们的stream量通过隧道,并在右侧局域网上访问互联网):
+---------------+ +------------------+ +-----------+ +------------+ | local LAN | | router | | Cisco ASA | | local LAN | |192.168.10.0/24+-+eth0:192.168.1.1 +-Network-+ 1.1.1.1 +-+10.10.0.0/24+-Internet | | |eth1:192.168.10.1 | | | | | +---------------+ +------------------+ +-----------+ +------------+ ipsec.conf文件:
config setup conn tunnel authby=psk auto=start keyingtries=%forever rekey=yes dpdaction=restart closeaction=restart keyexchange=ikev1 aggressive=yes fragmentation=yes ike=aes-sha-modp1024 esp=aes-sha type=tunnel forceencaps=yes left=%defaultroute leftid=@GroupName leftauth=psk leftauth2=xauth xauth_identity=user.name leftsourceip=%config right=1.1.1.1 rightauth=psk rightsubnet=0.0.0.0/0
iptables-save命令:
*filter :INPUT ACCEPT [762:57704] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [457:52596] -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i eth1 -s 192.168.10.0/24 ! -d 192.168.10.0/24 -o eth0 -j ACCEPT COMMIT *nat :PREROUTING ACCEPT [3:984] :INPUT ACCEPT [3:984] :OUTPUT ACCEPT [1:104] :POSTROUTING ACCEPT [0:0] -A POSTROUTING -m policy --dir out --pol ipsec -j ACCEPT -A POSTROUTING -s 10.10.0.0/24 -o eth0 -m policy --dir out --pol ipsec -j ACCEPT -A POSTROUTING -o eth0 -j MASQUERADE COMMIT