Điểm:0

StrongSwan - NAT VPN Pool lưu lượng truy cập (sau khi giải mã) đến cùng một IP như VPN Chấm dứt

lá cờ ml
Red

Tôi gặp sự cố khi thực hiện NAT (của lưu lượng VPN Pool sau khi giải mã) thông qua cùng một giao diện mà VPN đã chấm dứt. Bất kỳ ý tưởng làm thế nào để đạt được bài này IPSEC NAT.

              Nhóm NAT 10.10.10.0/24
              |
   [ Server VPN Strong Swan ] Eth1 (IP công cộng) ----------Internet ---------- Trang web từ xa (10.10.10.1)

Khi trang web từ xa kết nối và tạo dữ liệu dựa trên TCPDUMP, tôi có thể thấy 10.10.10.1 thoát khỏi Eth1 nhưng khi tôi áp dụng các quy tắc NAT sau đây... thì nó không hoạt động.

tcpdump: đầu ra dài dòng bị chặn, sử dụng -v hoặc -vv để giải mã giao thức đầy đủ
nghe trên enp7s0f1, loại liên kết EN10MB (Ethernet), kích thước ghi 262144 byte
12:39:10.344051 IP 10.10.10.1.37438 > 1.1.1.1.80: Flags [S], seq 2217548787, win 65535, tùy chọn [mss 1360,sackOK,TS val 2808310009 ecr 0,nop,wscale 8], độ dài 0
12:39:10.344073 IP 10.10.10.1.37438 > 1.1.1.1.80: Flags [S], seq 2217548787, win 65535, tùy chọn [mss 1360,sackOK,TS val 2808310009 ecr 0,nop,wscale 8], độ dài 0
12:39:10.350632 IP 10.10.10.1.37440 > 1.1.1.1.80: Flags [S], seq 3855195472, win 65535, tùy chọn [mss 1360,sackOK,TS val 2808310009 ecr 0,nop,wscale 8], độ dài 0
12:39:10.350653 IP 10.10.10.1.37440 > 1.1.1.1.80: Flags [S], seq 3855195472, win 65535, tùy chọn 

iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o eth1 -m policy --dir out --pol ipsec -j CHẤP NHẬN
iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o eth1 -j MASQUERADE

Thiết lập máy chủ VPN:

  thiết lập cấu hình
        charondebug="ike 1, knl 1, cfg 0"
        duy nhất = có
    
    kết nối ikev2-vpn
        auto=thêm
        nén = không
        loại = đường hầm
  

  keyexchange=ikev2
    phân mảnh = có
    forceencaps=yes
    dpdaction=xóa
    dpddelay=300s
    gõ lại = không
    còn lại =% bất kỳ
    [email protected]
    leftcert=server-cert.pem
    leftsendcert=luôn luôn
    leftsubnet=0.0.0.0/0
    đúng =% bất kỳ
    rightid=%any
    rightauth=eap-mschapv2
    rightsourceip=10.10.10.0/24
    rightdns=8.8.8.8
    quyềnendcert=không bao giờ
    eap_identity=%identity
    ike=chacha20poly1305-sha512-curve25519-prfsha512,aes256gcm16-sha384-prfsha384-ecp384,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024!
    esp=chacha20poly1305-sha512,aes256gcm16-ecp384,aes256-sha256,aes256-sha1,3des-sha1!

Bảng NAT

VPN-Server@localhost:~$ Sudo iptables -t nat -L -v
PREROUTING chuỗi (chính sách CHẤP NHẬN 180 gói, 48445 byte)
 pkts byte đích prot chọn không tham gia đích nguồn

Chuỗi INPUT (chính sách CHẤP NHẬN 0 gói, 0 byte)
 pkts byte đích prot chọn không tham gia đích nguồn

ĐẦU RA chuỗi (chính sách CHẤP NHẬN 76 gói, 6166 byte)
 pkts byte đích prot chọn không tham gia đích nguồn

Chuỗi POSTROUTING (chính sách CHẤP NHẬN 76 gói, 6166 byte)
 pkts byte đích prot chọn không tham gia đích nguồn
  294 28462 LIBVIRT_PRT tất cả -- mọi nơi mọi nơi
    0 0 MASQUERADE all -- bất kỳ 10.193.135.0/24 !10.193.135.0/24 /* được tạo cho mạng Multipass mpqemubr0 */
    0 0 MASQUERADE udp -- bất kỳ 10.193.135.0/24 !10.193.135.0/24 /* được tạo cho mạng Multipass mpqemubr0 */ cổng masq: 1024-65535
    0 0 MASQUERADE tcp -- bất kỳ 10.193.135.0/24 !10.193.135.0/24 /* được tạo cho mạng Multipass mpqemubr0 */ cổng masq: 1024-65535
    0 0 RETURN all -- any any 10.193.135.0/24 255.255.255.255 /* được tạo cho mạng Multipass mpqemubr0 */
    0 0 RETURN all -- bất kỳ 10.193.135.0/24 base-address.mcast.net/24 ​​/* nào được tạo cho mạng Multipass mpqemubr0 */
    0 0 MASQUERADE tất cả -- mọi Eth1 172.17.0.0/24 mọi nơi
   91 12895 MASQUERADE tất cả -- mọi Eth1 10.10.10.0/24 mọi nơi
    0 0 CHẤP NHẬN tất cả -- bất kỳ Eth1 10.10.10.0/24 nào phù hợp với chính sách dir out pol ipsec

Chuỗi LIBVIRT_PRT (1 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn
    1 40 RETURN all -- any any 192.168.122.0/24 base-address.mcast.net/24
    0 0 RETURN all -- any any 192.168.122.0/24 255.255.255.255
    0 0 MASQUERADE tcp -- bất kỳ cổng 192.168.122.0/24 !192.168.122.0/24 cổng masq: 1024-65535
    0 0 MASQUERADE udp -- bất kỳ 192.168.122.0/24 !192.168.122.0/24 cổng masq: 1024-65535
    0 0 MASQUERADE tất cả -- bất kỳ bất kỳ 192.168.122.0/24 !192.168.122.0/24

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.