Tôi gặp sự cố khi thực hiện NAT (của lưu lượng VPN Pool sau khi giải mã) thông qua cùng một giao diện mà VPN đã chấm dứt. Bất kỳ ý tưởng làm thế nào để đạt được bài này IPSEC NAT.
Nhóm NAT 10.10.10.0/24
|
[ Server VPN Strong Swan ] Eth1 (IP công cộng) ----------Internet ---------- Trang web từ xa (10.10.10.1)
Khi trang web từ xa kết nối và tạo dữ liệu dựa trên TCPDUMP, tôi có thể thấy 10.10.10.1 thoát khỏi Eth1 nhưng khi tôi áp dụng các quy tắc NAT sau đây... thì nó không hoạt động.
tcpdump: đầu ra dài dòng bị chặn, sử dụng -v hoặc -vv để giải mã giao thức đầy đủ
nghe trên enp7s0f1, loại liên kết EN10MB (Ethernet), kích thước ghi 262144 byte
12:39:10.344051 IP 10.10.10.1.37438 > 1.1.1.1.80: Flags [S], seq 2217548787, win 65535, tùy chọn [mss 1360,sackOK,TS val 2808310009 ecr 0,nop,wscale 8], độ dài 0
12:39:10.344073 IP 10.10.10.1.37438 > 1.1.1.1.80: Flags [S], seq 2217548787, win 65535, tùy chọn [mss 1360,sackOK,TS val 2808310009 ecr 0,nop,wscale 8], độ dài 0
12:39:10.350632 IP 10.10.10.1.37440 > 1.1.1.1.80: Flags [S], seq 3855195472, win 65535, tùy chọn [mss 1360,sackOK,TS val 2808310009 ecr 0,nop,wscale 8], độ dài 0
12:39:10.350653 IP 10.10.10.1.37440 > 1.1.1.1.80: Flags [S], seq 3855195472, win 65535, tùy chọn
iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o eth1 -m policy --dir out --pol ipsec -j CHẤP NHẬN
iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o eth1 -j MASQUERADE
Thiết lập máy chủ VPN:
thiết lập cấu hình
charondebug="ike 1, knl 1, cfg 0"
duy nhất = có
kết nối ikev2-vpn
auto=thêm
nén = không
loại = đường hầm
keyexchange=ikev2
phân mảnh = có
forceencaps=yes
dpdaction=xóa
dpddelay=300s
gõ lại = không
còn lại =% bất kỳ
[email protected]
leftcert=server-cert.pem
leftsendcert=luôn luôn
leftsubnet=0.0.0.0/0
đúng =% bất kỳ
rightid=%any
rightauth=eap-mschapv2
rightsourceip=10.10.10.0/24
rightdns=8.8.8.8
quyềnendcert=không bao giờ
eap_identity=%identity
ike=chacha20poly1305-sha512-curve25519-prfsha512,aes256gcm16-sha384-prfsha384-ecp384,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024!
esp=chacha20poly1305-sha512,aes256gcm16-ecp384,aes256-sha256,aes256-sha1,3des-sha1!
Bảng NAT
VPN-Server@localhost:~$ Sudo iptables -t nat -L -v
PREROUTING chuỗi (chính sách CHẤP NHẬN 180 gói, 48445 byte)
pkts byte đích prot chọn không tham gia đích nguồn
Chuỗi INPUT (chính sách CHẤP NHẬN 0 gói, 0 byte)
pkts byte đích prot chọn không tham gia đích nguồn
ĐẦU RA chuỗi (chính sách CHẤP NHẬN 76 gói, 6166 byte)
pkts byte đích prot chọn không tham gia đích nguồn
Chuỗi POSTROUTING (chính sách CHẤP NHẬN 76 gói, 6166 byte)
pkts byte đích prot chọn không tham gia đích nguồn
294 28462 LIBVIRT_PRT tất cả -- mọi nơi mọi nơi
0 0 MASQUERADE all -- bất kỳ 10.193.135.0/24 !10.193.135.0/24 /* được tạo cho mạng Multipass mpqemubr0 */
0 0 MASQUERADE udp -- bất kỳ 10.193.135.0/24 !10.193.135.0/24 /* được tạo cho mạng Multipass mpqemubr0 */ cổng masq: 1024-65535
0 0 MASQUERADE tcp -- bất kỳ 10.193.135.0/24 !10.193.135.0/24 /* được tạo cho mạng Multipass mpqemubr0 */ cổng masq: 1024-65535
0 0 RETURN all -- any any 10.193.135.0/24 255.255.255.255 /* được tạo cho mạng Multipass mpqemubr0 */
0 0 RETURN all -- bất kỳ 10.193.135.0/24 base-address.mcast.net/24 /* nào được tạo cho mạng Multipass mpqemubr0 */
0 0 MASQUERADE tất cả -- mọi Eth1 172.17.0.0/24 mọi nơi
91 12895 MASQUERADE tất cả -- mọi Eth1 10.10.10.0/24 mọi nơi
0 0 CHẤP NHẬN tất cả -- bất kỳ Eth1 10.10.10.0/24 nào phù hợp với chính sách dir out pol ipsec
Chuỗi LIBVIRT_PRT (1 tài liệu tham khảo)
pkts byte đích prot chọn không tham gia đích nguồn
1 40 RETURN all -- any any 192.168.122.0/24 base-address.mcast.net/24
0 0 RETURN all -- any any 192.168.122.0/24 255.255.255.255
0 0 MASQUERADE tcp -- bất kỳ cổng 192.168.122.0/24 !192.168.122.0/24 cổng masq: 1024-65535
0 0 MASQUERADE udp -- bất kỳ 192.168.122.0/24 !192.168.122.0/24 cổng masq: 1024-65535
0 0 MASQUERADE tất cả -- bất kỳ bất kỳ 192.168.122.0/24 !192.168.122.0/24