我正在使用ArchLinux系统尝试连接到由Juniper SRX100H提供服务的公司VPN。 我试图连接Strongswan(5.5.3-3),它似乎是成功的:
Starting strongSwan 5.5.3 IPsec [starter]... generating QUICK_MODE request 2638887156 [ HASH SA No KE ID ID ] sending packet: from 192.168.1.204[4500] to 10.0.0.1[4500] (396 bytes) received packet: from 10.0.0.1[4500] to 192.168.1.204[4500] (364 bytes) parsed QUICK_MODE response 2638887156 [ HASH SA No KE ID ID ] CHILD_SA test{2} established with SPIs cad5681f_i 4015b7bd_o and TS 192.168.1.204/32 === 192.168.32.0/24 connection 'test' established successfully 问题是,之后,我不能ping任何东西,但10.0.0.1,它会返回一个响应。 但我不能达到192.168.32.0/24内的任何同行。
我的ipsec.conf如下所示:
conn test left=%any [email protected] leftauth=psk leftauth2=xauth rightsubnet=192.168.32.0/24 rightid=10.0.0.1 rightauth=psk auto=start xauth_identity=USER esp=aes256-sha1-modp1536 ike=aes256-sha2_256-modp1536 aggressive=yes type=tunnel
ip route show的输出是:
default via 192.168.1.1 dev wlp3s0 proto static metric 600 192.168.1.0/24 dev wlp3s0 proto kernel scope link src 192.168.1.204 metric 600
其他客户端(Windows)可以连接NCP安全客户端,所以我猜这不是Juniper方面的防火墙问题。
任何帮助,将不胜感激 :)
输出iptables-save
# Generated by iptables-save v1.6.1 on Tue Aug 8 11:24:43 2017 *filter :INPUT ACCEPT [5:2010] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [7:999] -A INPUT -s 192.168.32.0/24 -d 192.168.1.204/32 -i wlp3s0 -m policy --dir in --pol ipsec --reqid 1 --proto esp -j ACCEPT -A OUTPUT -s 192.168.1.204/32 -d 192.168.32.0/24 -o wlp3s0 -m policy --dir out --pol ipsec --reqid 1 --proto esp -j ACCEPT COMMIT # Completed on Tue Aug 8 11:24:43 2017
charon_debug.log在这里: https ://pastebin.com/jYiqpLip
通过IRC帮助@ecdsa:
缺less的属性是leftsourceip=%config和modeconfig=push ,因为瞻博networking将所需设置推送到客户端。
这是我的SSH隧道另一端的networking中的任何主机的解决scheme。
允许IPv4转发
编辑/etc/sysctl.conf以允许在Linux内核中转发。
vi /etc/sysctl.conf
将以下行添加到文件中。
net.ipv4.ip_forward=1
保存该文件,然后应用更改。
sysctl -p
我想这与iptables有关
尝试添加这个:
leftfirewall=yes rightfirewall=yes