Tôi đã thiết lập thành công IPSec trong bộ định tuyến OpenWrt của mình nhưng tôi không thể ping mạng con từ xa.
Dưới đây là các tập tin liên quan
con mèo ipsec.conf
kết nối vpn3
keyexchange=ikev2
trái=10.129.170.132
phải=103.44.119.90
leftsubnet=192.168.18.0/24
rightsubnet=192.168.100.0/24
leftauth=psk
rightauth=psk
authby=bí mật
tự động = bắt đầu
dpdaction=khởi động lại
dpddelay=30s
dpdtimeout=150 giây
keyingtries=%forever
xe máy = có
ike=aes128-sha1-modp1024!
đặc biệt=aes128-sha1-modp1024!
ikelifetime=28800s
trọn đời=28800s
loại = đường hầm
forceencaps=yes
trạng thái ipsec
Trạng thái của daemon IKE charon (strongSwan 5.8.2, Linux 4.14.241, mips):
thời gian hoạt động: 5 phút, kể từ ngày 08 tháng 4 13:10:22 2022
chủ đề công nhân: 11 trên 16 nhàn rỗi, 5/0/0/0 đang hoạt động, hàng đợi công việc: 0/0/0/0, đã lên lịch: 5
plugin đã tải: charon aes des sha2 sha1 md4 md5 nonce ngẫu nhiên x509 pubkey gmp xcbc hmac kernel-netlink socket-default stroke updown
Địa chỉ IP nghe:
192.168.18.1
20.0.0.115
10.129.170.132
Kết nối:
vpn3: 10.129.170.132...103.44.119.90 IKEv2, dpddelay=30s
vpn3: local: [10.129.170.132] sử dụng xác thực khóa chia sẻ trước
vpn3: remote: [103.44.119.90] sử dụng xác thực khóa chia sẻ trước
vpn3: con: 192.168.18.0/24 === 192.168.100.0/24 TUNNEL, dpdaction=khởi động lại
Hiệp hội bảo mật (1 lên, 0 kết nối):
vpn3[1]: ĐƯỢC THÀNH LẬP 5 phút trước, 10.129.170.132[10.129.170.132]...103.44.119.90[103.44.119.90]
vpn3[1]: SPI IKEv2: e0ed3277e33b4d3a_i* 8f061450adb08c76_r, xác thực lại khóa chia sẻ trước sau 7 giờ
vpn3[1]: Đề xuất IKE: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
vpn3{1}: ĐÃ CÀI ĐẶT, TUNNEL, yêu cầu 1, ESP trong SPI UDP: c300f0e5_i c148ff6a_o
vpn3{1}: AES_CBC_128/HMAC_SHA1_96, 0 bytes_i, 22764 bytes_o (271 gói, 62 giây trước), nhập lại khóa sau 7 giờ
vpn3{1}: 192.168.18.0/24 === 192.168.100.0/24
bảng danh sách lộ trình ip 220
192.168.100.0/24 qua 10.64.64.64 dev 3g-sim nguyên mẫu tĩnh src 192.168.18.1
tuyến đường -n
Bảng định tuyến IP hạt nhân
Cổng đích Genmask Flag Metric Ref Sử dụng Iface
0.0.0.0 20.0.0.2 0.0.0.0 UG 1 0 0 eth0.2
0.0.0.0 10.64.64.64 0.0.0.0 UG 2 0 0 sim 3g
10.64.64.64 0.0.0.0 255.255.255.255 UH 0 0 0 sim 3g
20.0.0.0 0.0.0.0 255.255.255.0 U 1 0 0 eth0.2
192.168.18.0 0.0.0.0 255.255.255.0 U 0 0 0 br-lan
con mèo/etc/config/tường lửa
cấu hình mặc định
đầu ra tùy chọn 'CHẤP NHẬN'
tùy chọn synflood_protect '1'
tùy chọn đầu vào 'CHẤP NHẬN'
tùy chọn chuyển tiếp 'CHẤP NHẬN'
vùng cấu hình
tên tùy chọn 'lan'
đầu ra tùy chọn 'CHẤP NHẬN'
tùy chọn đầu vào 'CHẤP NHẬN'
tùy chọn chuyển tiếp 'CHẤP NHẬN'
liệt kê mạng 'lan'
vùng cấu hình
tên tùy chọn 'wan'
đầu ra tùy chọn 'CHẤP NHẬN'
tùy chọn mtu_fix '1'
tùy chọn đầu vào 'CHẤP NHẬN'
tùy chọn chuyển tiếp 'CHẤP NHẬN'
danh sách mạng 'wan'
liệt kê mạng 'sim'
tùy chọn mặt nạ '1'
chuyển tiếp cấu hình
tùy chọn src 'lan'
tùy chọn đích 'wan'
quy tắc cấu hình
tên tùy chọn 'Cho phép-DHCP-Gia hạn'
tùy chọn src 'wan'
tùy chọn proto 'udp'
tùy chọn dest_port '68'
mục tiêu tùy chọn 'CHẤP NHẬN'
họ tùy chọn 'ipv4'
quy tắc cấu hình
tên tùy chọn 'Cho phép-Ping'
tùy chọn src 'wan'
tùy chọn proto 'icmp'
tùy chọn icmp_type 'echo-request'
họ tùy chọn 'ipv4'
mục tiêu tùy chọn 'CHẤP NHẬN'
quy tắc cấu hình
tên tùy chọn 'Cho phép-IGMP'
tùy chọn src 'wan'
tùy chọn proto 'igmp'
họ tùy chọn 'ipv4'
mục tiêu tùy chọn 'CHẤP NHẬN'
quy tắc cấu hình
tên tùy chọn 'Cho phép-DHCPv6'
tùy chọn src 'wan'
tùy chọn proto 'udp'
tùy chọn src_ip 'fc00::/6'
tùy chọn dest_ip 'fc00::/6'
tùy chọn dest_port '546'
họ tùy chọn 'ipv6'
mục tiêu tùy chọn 'CHẤP NHẬN'
quy tắc cấu hình
tên tùy chọn 'Cho phép-MLD'
tùy chọn src 'wan'
tùy chọn proto 'icmp'
tùy chọn src_ip 'fe80::/10'
liệt kê icmp_type '130/0'
liệt kê icmp_type '131/0'
liệt kê icmp_type '132/0'
liệt kê icmp_type '143/0'
họ tùy chọn 'ipv6'
mục tiêu tùy chọn 'CHẤP NHẬN'
quy tắc cấu hình
tên tùy chọn 'Cho phép-ICMPv6-Đầu vào'
tùy chọn src 'wan'
tùy chọn proto 'icmp'
liệt kê icmp_type 'echo-request'
danh sách icmp_type 'echo-reply'
danh sách icmp_type 'không thể truy cập đích'
liệt kê icmp_type 'gói quá lớn'
danh sách icmp_type 'vượt quá thời gian'
danh sách icmp_type 'tiêu đề xấu'
liệt kê icmp_type 'loại tiêu đề không xác định'
liệt kê icmp_type 'gạ gẫm bộ định tuyến'
liệt kê icmp_type 'gạ gẫm hàng xóm'
liệt kê icmp_type 'quảng cáo bộ định tuyến'
liệt kê icmp_type 'quảng cáo hàng xóm'
giới hạn tùy chọn '1000/giây'
họ tùy chọn 'ipv6'
mục tiêu tùy chọn 'CHẤP NHẬN'
quy tắc cấu hình
tên tùy chọn 'Cho phép-ICMPv6-Chuyển tiếp'
tùy chọn src 'wan'
tùy chọn đích '*'
tùy chọn proto 'icmp'
liệt kê icmp_type 'echo-request'
danh sách icmp_type 'echo-reply'
danh sách icmp_type 'không thể truy cập đích'
liệt kê icmp_type 'gói quá lớn'
danh sách icmp_type 'vượt quá thời gian'
danh sách icmp_type 'tiêu đề xấu'
liệt kê icmp_type 'loại tiêu đề không xác định'
giới hạn tùy chọn '1000/giây'
họ tùy chọn 'ipv6'
mục tiêu tùy chọn 'CHẤP NHẬN'
quy tắc cấu hình
tên tùy chọn 'Cho phép-IPSec-ESP'
tùy chọn src 'wan'
tùy chọn đích 'lan'
tùy chọn nguyên mẫu 'đặc biệt'
mục tiêu tùy chọn 'CHẤP NHẬN'
quy tắc cấu hình
tên tùy chọn 'Cho phép-ISAKMP'
tùy chọn src 'wan'
tùy chọn đích 'lan'
tùy chọn dest_port '500'
tùy chọn proto 'udp'
mục tiêu tùy chọn 'CHẤP NHẬN'
cấu hình bao gồm
đường dẫn tùy chọn '/etc/firewall.user'
vùng cấu hình
tên tùy chọn 'vpn'
đầu ra tùy chọn 'CHẤP NHẬN'
tùy chọn đầu vào 'CHẤP NHẬN'
tùy chọn chuyển tiếp 'CHẤP NHẬN'
tùy chọn mtu_fix '1'
quy tắc cấu hình 'ipsec_nat'
mục tiêu tùy chọn 'CHẤP NHẬN'
tên tùy chọn 'IPsec NAT-T'
tùy chọn src 'wan'
tùy chọn proto 'udp'
tùy chọn dest_port '4500'
chuyển tiếp cấu hình
tùy chọn đích 'vpn'
tùy chọn src 'lan'
chuyển tiếp cấu hình
tùy chọn đích 'lan'
tùy chọn src 'vpn'
quy tắc IPtable
iptables -t nat -I POSTROUTING -m policy --pol ipsec --dir out -j CHẤP NHẬN
Một điều tôi đã quan sát thấy là bất cứ khi nào tôi nhấn lệnh ifdown wan, tôi đều nhận được phản hồi ping. Tôi nghĩ rằng lưu lượng truy cập của tôi đang đi qua tuyến đường mặc định không phải bằng IPSec.
Hãy giúp tôi.
