ฉันสร้าง IPSec ในเราเตอร์ OpenWrt สำเร็จแล้ว แต่ไม่สามารถ ping ซับเน็ตระยะไกลได้ ด้านล่างนี้เป็นไฟล์ที่เกี่ยวข้อง
แมว ipsec.conf
เชื่อมต่อ vpn3
การแลกเปลี่ยนคีย์=ikev2
ซ้าย=10.129.170.132
ขวา=103.44.119.90
leftsubnet=192.168.18.0/24
rightsubnet=192.168.100.0/24
leftauth = psk
rightauth=psk
authby = ความลับ
อัตโนมัติ = เริ่มต้น
dpdaction=รีสตาร์ท
dpddelay=30 วินาที
dpdtimeout=150 วินาที
การป้อนคีย์ = % ตลอดไป
mobike=ใช่
ike=aes128-sha1-modp1024!
esp=aes128-sha1-modp1024!
ikelifetime=28800s
อายุการใช้งาน = 28800 วินาที
พิมพ์=อุโมงค์
ฟอร์ซเอนแคป=ใช่
ipsec สถานะทั้งหมด
สถานะของ IKE charon daemon (strongSwan 5.8.2, Linux 4.14.241, mips):
เวลาทำงาน: 5 นาที ตั้งแต่ 08 เม.ย. 13:10:22 น. 2022
เธรดผู้ปฏิบัติงาน: 11 จาก 16 ไม่ได้ใช้งาน, 5/0/0/0 ทำงาน, คิวงาน: 0/0/0/0, กำหนดเวลา: 5
ปลั๊กอินที่โหลด: charon aes des sha2 sha1 md4 md5 สุ่ม nonce x509 pubkey gmp xcbc hmac kernel-netlink socket-default stroke updown
ที่อยู่ IP ที่รับฟัง:
192.168.18.1
20.0.0.115
10.129.170.132
การเชื่อมต่อ:
vpn3: 10.129.170.132...103.44.119.90 IKEv2, dpddelay=30s
vpn3: ท้องถิ่น: [10.129.170.132] ใช้การตรวจสอบสิทธิ์คีย์ที่แบ่งปันล่วงหน้า
vpn3: ระยะไกล: [103.44.119.90] ใช้การตรวจสอบสิทธิ์คีย์ที่แบ่งปันล่วงหน้า
vpn3: ย่อย: 192.168.18.0/24 === 192.168.100.0/24 TUNNEL, dpdaction=restart
สมาคมความปลอดภัย (1 ขึ้น 0 เชื่อมต่อ):
vpn3[1]: เปิดใช้งานเมื่อ 5 นาทีที่แล้ว 10.129.170.132[10.129.170.132]...103.44.119.90[103.44.119.90]
vpn3[1]: IKEv2 SPI: e0ed3277e33b4d3a_i* 8f061450adb08c76_r การรับรองความถูกต้องของคีย์ที่แชร์ล่วงหน้าใน 7 ชั่วโมง
vpn3[1]: ข้อเสนอ IKE: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
vpn3{1}: ติดตั้ง, อุโมงค์, reqid 1, ESP ใน UDP SPI: c300f0e5_i c148ff6a_o
vpn3{1}: AES_CBC_128/HMAC_SHA1_96, 0 bytes_i, 22764 bytes_o (271 pkts, 62 วินาทีที่แล้ว), คีย์ใหม่ใน 7 ชั่วโมง
vpn3{1}: 192.168.18.0/24 === 192.168.100.0/24
ตารางรายการเส้นทาง ip 220
192.168.100.0/24 ผ่าน 10.64.64.64 dev 3g-sim โปรโตสแตติก src 192.168.18.1
เส้นทาง -n
ตารางเส้นทางเคอร์เนล IP
เกตเวย์ปลายทาง Genmask ตั้งค่าสถานะการอ้างอิงเมตริก ใช้ Iface
0.0.0.0 20.0.0.2 0.0.0.0 UG 1 0 0 eth0.2
0.0.0.0 10.64.64.64 0.0.0.0 UG 2 0 0 3g-ซิม
10.64.64.64 0.0.0.0 255.255.255.255 UH 0 0 0 3g-ซิม
20.0.0.0 0.0.0.0 255.255.255.0 U 1 0 0 eth0.2
192.168.18.0 0.0.0.0 255.255.255.0 U 0 0 0 br-ลาน
cat /etc/config/ไฟร์วอลล์
กำหนดค่าเริ่มต้น
เอาต์พุตตัวเลือก 'ยอมรับ'
ตัวเลือก synflood_protect '1'
ป้อนตัวเลือก 'ยอมรับ'
ตัวเลือกไปข้างหน้า 'ยอมรับ'
โซนการกำหนดค่า
ชื่อตัวเลือก 'lan'
เอาต์พุตตัวเลือก 'ยอมรับ'
ป้อนตัวเลือก 'ยอมรับ'
ตัวเลือกไปข้างหน้า 'ยอมรับ'
รายการเครือข่าย 'lan'
โซนการกำหนดค่า
ชื่อตัวเลือก 'wan'
เอาต์พุตตัวเลือก 'ยอมรับ'
ตัวเลือก mtu_fix '1'
ป้อนตัวเลือก 'ยอมรับ'
ตัวเลือกไปข้างหน้า 'ยอมรับ'
รายการเครือข่าย 'wan'
รายการเครือข่าย 'ซิม'
ตัวเลือกมาสก์ '1'
การส่งต่อการกำหนดค่า
ตัวเลือก src 'lan'
ตัวเลือก dest 'wan'
กฎการกำหนดค่า
ชื่อตัวเลือก 'อนุญาต-DHCP-ต่ออายุ'
ตัวเลือก src 'วาน'
ตัวเลือกโปรโต 'udp'
ตัวเลือก dest_port '68'
เป้าหมายตัวเลือก 'ยอมรับ'
ตระกูลตัวเลือก 'ipv4'
กฎการกำหนดค่า
ชื่อตัวเลือก 'อนุญาต-Ping'
ตัวเลือก src 'วาน'
ตัวเลือกโปรโต 'icmp'
ตัวเลือก icmp_type 'echo-request'
ตระกูลตัวเลือก 'ipv4'
เป้าหมายตัวเลือก 'ยอมรับ'
กฎการกำหนดค่า
ชื่อตัวเลือก 'Allow-IGMP'
ตัวเลือก src 'วาน'
ตัวเลือกโปรโต 'igmp'
ตระกูลตัวเลือก 'ipv4'
เป้าหมายตัวเลือก 'ยอมรับ'
กฎการกำหนดค่า
ชื่อตัวเลือก 'อนุญาต-DHCPv6'
ตัวเลือก src 'วาน'
ตัวเลือกโปรโต 'udp'
ตัวเลือก src_ip 'fc00::/6'
ตัวเลือก dest_ip 'fc00::/6'
ตัวเลือก dest_port '546'
ตระกูลตัวเลือก 'ipv6'
เป้าหมายตัวเลือก 'ยอมรับ'
กฎการกำหนดค่า
ชื่อตัวเลือก 'Allow-MLD'
ตัวเลือก src 'วาน'
ตัวเลือกโปรโต 'icmp'
ตัวเลือก src_ip 'fe80::/10'
รายการ icmp_type '130/0'
รายการ icmp_type '131/0'
รายการ icmp_type '132/0'
รายการ icmp_type '143/0'
ตระกูลตัวเลือก 'ipv6'
เป้าหมายตัวเลือก 'ยอมรับ'
กฎการกำหนดค่า
ชื่อตัวเลือก 'อนุญาต-ICMPv6-อินพุต'
ตัวเลือก src 'วาน'
ตัวเลือกโปรโต 'icmp'
รายการ icmp_type 'echo-request'
รายการ icmp_type 'echo-reply'
รายการ icmp_type 'ปลายทางไม่สามารถเข้าถึงได้'
รายการ icmp_type 'แพ็คเก็ตใหญ่เกินไป'
รายการ icmp_type 'เกินเวลา'
รายการ icmp_type 'ส่วนหัวไม่ถูกต้อง'
รายการ icmp_type 'unknown-header-type'
รายการ icmp_type 'การชักชวนเราเตอร์'
รายการ icmp_type 'การชักชวนเพื่อนบ้าน'
รายการ icmp_type 'โฆษณาเราเตอร์'
รายการ icmp_type 'โฆษณาเพื่อนบ้าน'
ขีดจำกัดตัวเลือก '1,000/วินาที'
ตระกูลตัวเลือก 'ipv6'
เป้าหมายตัวเลือก 'ยอมรับ'
กฎการกำหนดค่า
ชื่อตัวเลือก 'Allow-ICMPv6-Forward'
ตัวเลือก src 'วาน'
ปลายทางตัวเลือก '*'
ตัวเลือกโปรโต 'icmp'
รายการ icmp_type 'echo-request'
รายการ icmp_type 'echo-reply'
รายการ icmp_type 'ปลายทางไม่สามารถเข้าถึงได้'
รายการ icmp_type 'แพ็คเก็ตใหญ่เกินไป'
รายการ icmp_type 'เกินเวลา'
รายการ icmp_type 'ส่วนหัวไม่ถูกต้อง'
รายการ icmp_type 'unknown-header-type'
ขีดจำกัดตัวเลือก '1,000/วินาที'
ตระกูลตัวเลือก 'ipv6'
เป้าหมายตัวเลือก 'ยอมรับ'
กฎการกำหนดค่า
ชื่อตัวเลือก 'Allow-IPSec-ESP'
ตัวเลือก src 'วาน'
ตัวเลือกที่ยกเลิก 'lan'
ตัวเลือกโปรโต 'esp'
เป้าหมายตัวเลือก 'ยอมรับ'
กฎการกำหนดค่า
ชื่อตัวเลือก 'Allow-ISAKMP'
ตัวเลือก src 'วาน'
ตัวเลือกที่ยกเลิก 'lan'
ตัวเลือก dest_port '500'
ตัวเลือกโปรโต 'udp'
เป้าหมายตัวเลือก 'ยอมรับ'
รวมการกำหนดค่า
เส้นทางตัวเลือก '/etc/firewall.user'
โซนการกำหนดค่า
ชื่อตัวเลือก 'vpn'
เอาต์พุตตัวเลือก 'ยอมรับ'
ป้อนตัวเลือก 'ยอมรับ'
ตัวเลือกไปข้างหน้า 'ยอมรับ'
ตัวเลือก mtu_fix '1'
กฎการกำหนดค่า 'ipsec_nat'
เป้าหมายตัวเลือก 'ยอมรับ'
ชื่อตัวเลือก 'IPsec NAT-T'
ตัวเลือก src 'วาน'
ตัวเลือกโปรโต 'udp'
ตัวเลือก dest_port '4500'
การส่งต่อการกำหนดค่า
ตัวเลือกปลายทาง 'vpn'
ตัวเลือก src 'lan'
การส่งต่อการกำหนดค่า
ตัวเลือกที่ยกเลิก 'lan'
ตัวเลือก src 'vpn'
กฎ IPtable
iptables -t nat -I POSTROUTING -m นโยบาย --pol ipsec --dir out -j ยอมรับ
สิ่งหนึ่งที่ฉันสังเกตเห็นคือเมื่อใดก็ตามที่ฉันกดคำสั่ง ifdown wan ฉันจะได้รับการตอบกลับ ping ฉันคิดว่าทราฟฟิกของฉันกำลังผ่านเส้นทางเริ่มต้น ไม่ใช่โดย IPSec กรุณาช่วย.
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
