Назад | Перейти на главную страницу

Трафик Ikev1 не инкапсулируется после настройки виртуального IP

Я пытаюсь настроить клиент vpn (экзотическое программное обеспечение) для настройки туннеля со шлюзом vpn (strongswan).

Все работает нормально, если я не использую виртуальный IP-адрес, тогда я могу пинговать клиента из частной сети за шлюзом vpn, трафик инкапсулируется.

Если я настрою виртуальный IP-адрес, сервер перестанет инкапсулировать трафик. Трафик направляется напрямую через WAN-интерфейс, и похоже, что strongswan не перехватывает никакие пакеты, чтобы их инкапсулировать.

политика xfrm

_  ~ ip xfrm policy 
src 192.168.88.0/24 dst 192.168.88.131/32 
        dir out priority 371327 ptype main 
        tmpl src 10.35.0.27 dst 10.35.0.8
                proto esp spi 0xb78808a7 reqid 1 mode tunnel 
 src 192.168.88.131/32 dst 192.168.88.0/24 
        dir fwd priority 371327 ptype main 
        tmpl src 10.35.0.8 dst 10.35.0.27
                proto esp reqid 1 mode tunnel 
 src 192.168.88.131/32 dst 192.168.88.0/24 
        dir in priority 371327 ptype main 
        tmpl src 10.35.0.8 dst 10.35.0.27
                proto esp reqid 1 mode tunnel

ipsec.conf

conn test
 left=10.35.0.27
 leftsubnet=192.168.88.0/24
 leftcert=vpn.crt
 rightcert=vpnclient.crt
 leftid=%any
 rightid=%any
 lifebytes=0
 lifepackets=0
 leftfirewall=no
 rightsourceip=%config
 right=%any
 auto=add
 rekey=yes
 dpdaction=clear
 dpddelay=30s
 dpdtimeout=60s
 lifetime=20h
 ike=aes128-sha1-modp1024!
 esp=aes128-sha1! 
 type=tunnel

журнал strongswan:

vpn-gateway charon[3247]: 11[IKE] peer requested virtual IP 192.168.88.131
vpn-gateway charon[3247]: 11[IKE] assigning virtual IP 192.168.88.131 to peer 'CN=1.example.com'
...
vpn-gateway charon[5655]: 14[KNL] adding policy 192.168.88.131/32 === 192.168.88.0/24 in [priority 371327, refcount 1]
vpn-gateway charon[5655]: 14[KNL] adding policy 192.168.88.131/32 === 192.168.88.0/24 fwd [priority 371327, refcount 1]
vpn-gateway charon[5655]: 14[KNL] adding policy 192.168.88.0/24 === 192.168.88.131/32 out [priority 371327, refcount 1]
vpn-gateway charon[5655]: 14[KNL] getting a local address in traffic selector 192.168.88.0/24
vpn-gateway charon[5655]: 14[KNL] using host 192.168.88.229
vpn-gateway charon[5655]: 14[KNL] getting iface name for index 17
vpn-gateway charon[5655]: 14[KNL] using 10.35.0.27 as nexthop and ppp0 as dev to reach 10.35.0.8/32
vpn-gateway charon[5655]: 14[KNL] installing route: 192.168.88.131/32 via 10.35.0.27 src 192.168.88.229 dev ppp0
vpn-gateway charon[5655]: 14[KNL] getting iface index for ppp0
vpn-gateway charon[5655]: 14[IKE] CHILD_SA test{3} established with SPIs cd55b6b8_i adf5983f_o and TS 192.168.88.0/24 === 192.168.88.131/32
vpn-gateway charon[5655]: 14[IKE] CHILD_SA test{3} established with SPIs cd55b6b8_i adf5983f_o and TS 192.168.88.0/24 === 192.168.88.131/32