ฉันประสบปัญหาในการทำ NAT (ของการรับส่งข้อมูล VPN Pool หลังจากถอดรหัส) ผ่านอินเทอร์เฟซเดียวกับที่ VPN ยกเลิก แนวคิดใดที่จะทำให้บรรลุโพสต์นี้ IPSEC NAT
แนทพูล 10.10.10.0/24
|
[ เซิร์ฟเวอร์ VPN Strong Swan ] Eth1 (IP สาธารณะ) ---------- อินเทอร์เน็ต ----------- ไซต์ระยะไกล (10.10.10.1)
เมื่อไซต์ระยะไกลเชื่อมต่อและสร้างข้อมูลตาม TCPDUMP ฉันสามารถเห็น 10.10.10.1 ออกจาก Eth1 แต่เมื่อฉันใช้กฎ NAT ต่อไปนี้... มันใช้งานไม่ได้
tcpdump: เอาต์พุต verbose ถูกระงับ ใช้ -v หรือ -vv สำหรับการถอดรหัสโปรโตคอลแบบเต็ม
กำลังฟัง enp7s0f1, ประเภทลิงก์ EN10MB (Ethernet), ขนาดการจับภาพ 262144 ไบต์
12:39:10.344051 IP 10.10.10.1.37438 > 1.1.1.1.80: ค่าสถานะ [S], seq 2217548787, ชนะ 65535, ตัวเลือก [mss 1360,sackOK,TS val 2808310009 ecr 0,nop,wscale 8], ความยาว 0
12:39:10.344073 IP 10.10.10.1.37438 > 1.1.1.1.80: ค่าสถานะ [S], seq 2217548787, ชนะ 65535, ตัวเลือก [mss 1360,sackOK,TS val 2808310009 ecr 0,nop,wscale 8], ความยาว 0
12:39:10.350632 IP 10.10.10.1.37440 > 1.1.1.1.80: ค่าสถานะ [S], seq 3855195472, ชนะ 65535, ตัวเลือก [mss 1360,sackOK,TS val 2808310009 ecr 0,nop,wscale 8], ความยาว 0
12:39:10.350653 IP 10.10.10.1.37440 > 1.1.1.1.80: ค่าสถานะ [S], seq 3855195472, ชนะ 65535, ตัวเลือก
iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o นโยบาย eth1 -m --dir out --pol ipsec -j ยอมรับ
iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o eth1 -j MASQUERADE
การตั้งค่าเซิร์ฟเวอร์ VPN:
การตั้งค่าคอนฟิก
charondebug="ike 1, knl 1, cfg 0"
รหัสเฉพาะ=ใช่
เชื่อมต่อ ikev2-vpn
อัตโนมัติ = เพิ่ม
บีบอัด=ไม่
พิมพ์=อุโมงค์
การแลกเปลี่ยนคีย์=ikev2
การกระจายตัว = ใช่
ฟอร์ซเอนแคป=ใช่
dpdaction=ชัดเจน
dpddelay=300 วินาที
คีย์ใหม่ = ไม่
ซ้าย = % ใด ๆ
[email protected]
leftcert=เซิร์ฟเวอร์-cert.pem
leftsendcert=เสมอ
leftsubnet=0.0.0.0/0
ขวา=%ใดๆ
rightid=%ใดๆ
rightauth=eap-mschapv2
rightsourceip=10.10.10.0/24
rightdns=8.8.8.8
rightendcert=ไม่เคย
eap_identity=%เอกลักษณ์
ike=chacha20poly1305-sha512-curve25519-prfsha512,aes256gcm16-sha384-prfsha384-ecp384,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024!
esp=chacha20poly1305-sha512,aes256gcm16-ecp384,aes256-sha256,aes256-sha1,3des-sha1!
ตารางแนท
VPN-เซิร์ฟเวอร์@localhost:~$ sudo iptables -t nat -L -v
CHAIN PREROUTING (นโยบายยอมรับ 180 แพ็คเก็ต, 48445 ไบต์)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
Chain INPUT (นโยบายยอมรับ 0 แพ็กเก็ต, 0 ไบต์)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
Chain OUTPUT (นโยบายยอมรับ 76 แพ็คเก็ต, 6166 ไบต์)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
Chain POSTROUTING (นโยบายยอมรับ 76 แพ็คเก็ต, 6166 ไบต์)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
294 28462 LIBVIRT_PRT ทั้งหมด -- ทุกที่ ทุกแห่ง
0 0 MASQUERADE ทั้งหมด -- ใดๆ 10.193.135.0/24 !10.193.135.0/24 /* ที่สร้างขึ้นสำหรับเครือข่าย Multipass mpqemubr0 */
0 0 MASQUERADE udp -- ใด ๆ 10.193.135.0/24 !10.193.135.0/24 /* ที่สร้างขึ้นสำหรับเครือข่าย Multipass mpqemubr0 */ พอร์ต masq: 1024-65535
0 0 MASQUERADE tcp -- ใด ๆ 10.193.135.0/24 !10.193.135.0/24 /* ที่สร้างขึ้นสำหรับเครือข่าย Multipass mpqemubr0 */ พอร์ต masq: 1024-65535
0 0 คืนทั้งหมด -- ใดๆ 10.193.135.0/24 255.255.255.255 /* ที่สร้างขึ้นสำหรับเครือข่าย Multipass mpqemubr0 */
0 0 คืนทั้งหมด -- ใดๆ 10.193.135.0/24 base-address.mcast.net/24 /* ที่สร้างขึ้นสำหรับเครือข่าย Multipass mpqemubr0 */
0 0 MASQUERADE ทั้งหมด -- Eth1 172.17.0.0/24 ใดๆ ก็ได้
91 12895 MASQUERADE ทั้งหมด -- Eth1 ใดๆ 10.10.10.0/24 ที่ใดก็ได้
0 0 ยอมรับทั้งหมด -- Eth1 ใดๆ 10.10.10.0/24 ทุกแห่งที่นโยบายตรงกับ dir out pol ipsec
เชน LIBVIRT_PRT (อ้างอิง 1 รายการ)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
1 40 ส่งคืนทั้งหมด - ใด ๆ 192.168.122.0/24 base-address.mcast.net/24
0 0 คืนทั้งหมด -- ใดๆ ก็ได้ 192.168.122.0/24 255.255.255.255
0 0 MASQUERADE tcp -- ใดๆ 192.168.122.0/24 !192.168.122.0/24 พอร์ต masq: 1024-65535
0 0 MASQUERADE udp -- ใดๆ 192.168.122.0/24 !192.168.122.0/24 พอร์ต masq: 1024-65535
0 0 MASQUERADE ทั้งหมด -- ใดๆ 192.168.122.0/24 !192.168.122.0/24