我已经用Win10 Pro敏捷VPN客户端和Linux StrongSwan服务器成功build立了VPN Ikev2隧道。 客户端可以ping通strongswan服务器(192.168.0.11)和192.168.0.0/24networking中的其他任何机器。 但是,StrongSwan服务器不能ping / arping连接的RoadWarrior。 所以一些程序因为无法到达客户而失败。
我的networking设置:
Win10(192.168.0.10/VirtualIP:192.168.0.100)===(192.168.0.1)Fritz Router#1(ISP的91.13.xx)=== INTERNET ===(ISP的217.94.xx)Fritz Router#2 192.168.0.1)===(192.168.0.11)StrongSwan服务器
ipsec.conf文件:
conn %default ikelifetime = 60m keylife = 20m rekeymargin = 3m keyingentries = 1 keyexchange = ikev2 rekey = no conn vpn left = 192.168.0.11 leftsubnet = 192.168.0.0/24 leftauth = pubkey leftcert = server1_Host_cert.pem right = %any rightauth = eap-mschapv2 rightsendcert = never rightsourceip = 192.168.0.100 eap_identity = %any auto = add include /var/lib/strongswan/ipsec.conf.inc ip route show table 220:
192.168.0.100 via 192.168.0.1 dev eth0 proto static src 192.168.0.11
ip xfrm策略:
src 192.168.0.100/32 dst 192.168.0.0/24 dir fwd priority 2851 ptype main tmpl src 91.13.xx dst 192.168.0.11 proto esp reqid 8 mode tunnel src 192.168.0.100/32 dst 192.168.0.0/24 dir in priority 2851 ptype main tmpl src 91.13.xx dst 192.168.0.11 proto esp reqid 8 mode tunnel src 192.168.0.0/24 dst 192.168.0.100/32 dir out priority 2851 ptype main tmpl src 192.168.0.11 dst 91.13.xx proto esp reqid 8 mode tunnel
Fritz路由器#2在主机networking上使用防火墙。 ESP,UDP500和UDP4500被转发到strongswan服务器。 服务器本身不使用iptables(ACCEPT策略)。
谢谢你的帮助。
解决:由于某种原因,Windows防火墙删除了我的内部网:允许规则。 所以它阻止了来自VPNnetworking的ping和arping。 重新input规则(来源:192.168.0.0/24 ==允许)后,它的工作。