Score:0

StrongSwan - ทราฟฟิก NAT VPN Pool (หลังจากถอดรหัส) ไปยัง IP เดียวกับการยุติ VPN

ธง ml
Red

ฉันประสบปัญหาในการทำ NAT (ของการรับส่งข้อมูล VPN Pool หลังจากถอดรหัส) ผ่านอินเทอร์เฟซเดียวกับที่ VPN ยกเลิก แนวคิดใดที่จะทำให้บรรลุโพสต์นี้ IPSEC NAT

              แนทพูล 10.10.10.0/24
              |
   [ เซิร์ฟเวอร์ VPN Strong Swan ] Eth1 (IP สาธารณะ) ---------- อินเทอร์เน็ต ----------- ไซต์ระยะไกล (10.10.10.1)

เมื่อไซต์ระยะไกลเชื่อมต่อและสร้างข้อมูลตาม TCPDUMP ฉันสามารถเห็น 10.10.10.1 ออกจาก Eth1 แต่เมื่อฉันใช้กฎ NAT ต่อไปนี้... มันใช้งานไม่ได้

tcpdump: เอาต์พุต verbose ถูกระงับ ใช้ -v หรือ -vv สำหรับการถอดรหัสโปรโตคอลแบบเต็ม
กำลังฟัง enp7s0f1, ประเภทลิงก์ EN10MB (Ethernet), ขนาดการจับภาพ 262144 ไบต์
12:39:10.344051 IP 10.10.10.1.37438 > 1.1.1.1.80: ค่าสถานะ [S], seq 2217548787, ชนะ 65535, ตัวเลือก [mss 1360,sackOK,TS val 2808310009 ecr 0,nop,wscale 8], ความยาว 0
12:39:10.344073 IP 10.10.10.1.37438 > 1.1.1.1.80: ค่าสถานะ [S], seq 2217548787, ชนะ 65535, ตัวเลือก [mss 1360,sackOK,TS val 2808310009 ecr 0,nop,wscale 8], ความยาว 0
12:39:10.350632 IP 10.10.10.1.37440 > 1.1.1.1.80: ค่าสถานะ [S], seq 3855195472, ชนะ 65535, ตัวเลือก [mss 1360,sackOK,TS val 2808310009 ecr 0,nop,wscale 8], ความยาว 0
12:39:10.350653 IP 10.10.10.1.37440 > 1.1.1.1.80: ค่าสถานะ [S], seq 3855195472, ชนะ 65535, ตัวเลือก 

iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o นโยบาย eth1 -m --dir out --pol ipsec -j ยอมรับ
iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o eth1 -j MASQUERADE

การตั้งค่าเซิร์ฟเวอร์ VPN:

  การตั้งค่าคอนฟิก
        charondebug="ike 1, knl 1, cfg 0"
        รหัสเฉพาะ=ใช่
    
    เชื่อมต่อ ikev2-vpn
        อัตโนมัติ = เพิ่ม
        บีบอัด=ไม่
        พิมพ์=อุโมงค์
  

  การแลกเปลี่ยนคีย์=ikev2
    การกระจายตัว = ใช่
    ฟอร์ซเอนแคป=ใช่
    dpdaction=ชัดเจน
    dpddelay=300 วินาที
    คีย์ใหม่ = ไม่
    ซ้าย = % ใด ๆ
    [email protected]
    leftcert=เซิร์ฟเวอร์-cert.pem
    leftsendcert=เสมอ
    leftsubnet=0.0.0.0/0
    ขวา=%ใดๆ
    rightid=%ใดๆ
    rightauth=eap-mschapv2
    rightsourceip=10.10.10.0/24
    rightdns=8.8.8.8
    rightendcert=ไม่เคย
    eap_identity=%เอกลักษณ์
    ike=chacha20poly1305-sha512-curve25519-prfsha512,aes256gcm16-sha384-prfsha384-ecp384,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024!
    esp=chacha20poly1305-sha512,aes256gcm16-ecp384,aes256-sha256,aes256-sha1,3des-sha1!

ตารางแนท

VPN-เซิร์ฟเวอร์@localhost:~$ sudo iptables -t nat -L -v
CHAIN ​​PREROUTING (นโยบายยอมรับ 180 แพ็คเก็ต, 48445 ไบต์)
 pkts bytes target prot เลือกใช้ปลายทางต้นทาง

Chain INPUT (นโยบายยอมรับ 0 แพ็กเก็ต, 0 ไบต์)
 pkts bytes target prot เลือกใช้ปลายทางต้นทาง

Chain OUTPUT (นโยบายยอมรับ 76 แพ็คเก็ต, 6166 ไบต์)
 pkts bytes target prot เลือกใช้ปลายทางต้นทาง

Chain POSTROUTING (นโยบายยอมรับ 76 แพ็คเก็ต, 6166 ไบต์)
 pkts bytes target prot เลือกใช้ปลายทางต้นทาง
  294 28462 LIBVIRT_PRT ทั้งหมด -- ทุกที่ ทุกแห่ง
    0 0 MASQUERADE ทั้งหมด -- ใดๆ 10.193.135.0/24 !10.193.135.0/24 /* ที่สร้างขึ้นสำหรับเครือข่าย Multipass mpqemubr0 */
    0 0 MASQUERADE udp -- ใด ๆ 10.193.135.0/24 !10.193.135.0/24 /* ที่สร้างขึ้นสำหรับเครือข่าย Multipass mpqemubr0 */ พอร์ต masq: 1024-65535
    0 0 MASQUERADE tcp -- ใด ๆ 10.193.135.0/24 !10.193.135.0/24 /* ที่สร้างขึ้นสำหรับเครือข่าย Multipass mpqemubr0 */ พอร์ต masq: 1024-65535
    0 0 คืนทั้งหมด -- ใดๆ 10.193.135.0/24 255.255.255.255 /* ที่สร้างขึ้นสำหรับเครือข่าย Multipass mpqemubr0 */
    0 0 คืนทั้งหมด -- ใดๆ 10.193.135.0/24 base-address.mcast.net/24 ​​/* ที่สร้างขึ้นสำหรับเครือข่าย Multipass mpqemubr0 */
    0 0 MASQUERADE ทั้งหมด -- Eth1 172.17.0.0/24 ใดๆ ก็ได้
   91 12895 MASQUERADE ทั้งหมด -- Eth1 ใดๆ 10.10.10.0/24 ที่ใดก็ได้
    0 0 ยอมรับทั้งหมด -- Eth1 ใดๆ 10.10.10.0/24 ทุกแห่งที่นโยบายตรงกับ dir out pol ipsec

เชน LIBVIRT_PRT (อ้างอิง 1 รายการ)
 pkts bytes target prot เลือกใช้ปลายทางต้นทาง
    1 40 ส่งคืนทั้งหมด - ใด ๆ 192.168.122.0/24 base-address.mcast.net/24
    0 0 คืนทั้งหมด -- ใดๆ ก็ได้ 192.168.122.0/24 255.255.255.255
    0 0 MASQUERADE tcp -- ใดๆ 192.168.122.0/24 !192.168.122.0/24 พอร์ต masq: 1024-65535
    0 0 MASQUERADE udp -- ใดๆ 192.168.122.0/24 !192.168.122.0/24 พอร์ต masq: 1024-65535
    0 0 MASQUERADE ทั้งหมด -- ใดๆ 192.168.122.0/24 !192.168.122.0/24

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา