在IPsec主机上Ping到子网只能使用-I参数

|| 我有以下情况。两台主机使用Strongswan IpSec通过Internet连接两个子网 主机1子网10.13.0.0/24的路由器 主机2是租用的专用Ubuntu服务器,没有子网(ifconfig表示子掩码为Mask:255.255.255.255) 主机2还使用OpenVpn托管另一个子网。该子网是192.168.23.0/24 主机2在该子网上具有192.168.23.1作为Ip。 ping时-I 192.168.23.1 10.23.23.23我可以访问其他服务器。当我执行ping 10.23.23.23时,它不起作用。在192.168.0./24网络中的所有其他客户端上,ping正常工作。 我必须添加哪个路由条目才能使其正常工作?因为现在主机本身无法到达另一端的客户端。 更多信息: host2有两个接口:eth0和tun0(对于openvpn) host2上的ipconfig看起来像这样: 
charonstart=yes
plutostart=yes
left=host2externalIp
leftsubnet=192.168.23.0/24
leftnexthop=host2router
right=remoteIp
rightsubnet=10.13.0.0/24
在此处找到答案:http://www.freeswan.org/freeswan_trees/freeswan-1.99/doc/adv_config.html#multitunnel 可以进行一些额外的配置。不幸的是,我无法控制另一端的配置,因此它对我不起作用。     
2020-01-23 3 条评论
分享

没有找到相关结果

    已邀请:

    闪脖

            它不会ping,因为从host2进行ping时,ping使用的是您的公共IP地址(来自eth0)作为源。 IPSec的内核规则说,只有来自192.168.23.0/24 => 10.13.0.0/24的流量才通过该隧道。 您需要添加NAT才能使其正常工作,例如: 
    iptables -t nat -A POSTROUTING ! -s 192.168.23.0/24 -d 10.13.0.0/24 -j SNAT --to-source 192.168.23.1
        
    2020-01-23 0 0
    分享

    抚驰

            mighq指出了问题所在,但是朝错误的方向寻求解决方案(或者大约3年前,很难找到正确的方向)。 问题:您已经将防火墙配置为允许将出站数据包发送到默认网关,但是您没有在网络列表中包括该最终接口的终结点。 解决方案:通过/ 32或/ 128掩码的网络,将上行链路IP(路由器用于与默认网关通信的地址)添加到左/右网络列表中。     
    2020-01-23 0 0
    分享
    为什么被折叠? 0 个回复被折叠

    要回复问题请先登录注册

    或代码 OrCode.com 备案号:粤ICP备15020848号-1
    Escape time: 0.070313930511475