Я установил strongswan на маршрутизатор (Debian Stretch), и конфигурация strongswan работает хорошо, но только для соединений, исходящих от маршрутизатора.
Однако, как только туннель идет вверх, клиенты за маршрутизатором (192.168.10.0/24 снизу) полностью теряют все возможности подключения. Это означает, что они больше не могут получить доступ к Интернету, они не будут маршрутизироваться через туннель и даже не пингуют / telnet / ssh на самом маршрутизаторе (192.168.10.1). Цель состоит в том, чтобы эти клиенты могли получить доступ к Интернету путем туннелирования всего своего трафика через ASA.
Настройка выглядит следующим образом:
сеть (клиенты из левой LAN должны пропускать свой трафик через туннель и получать доступ в Интернет за правой LAN):
+---------------+ +------------------+ +-----------+ +------------+
| local LAN | | router | | Cisco ASA | | local LAN |
|192.168.10.0/24+-+eth0:192.168.1.1 +-Network-+ 1.1.1.1 +-+10.10.0.0/24+-Internet
| | |eth1:192.168.10.1 | | | | |
+---------------+ +------------------+ +-----------+ +------------+
ipsec.conf:
config setup
conn tunnel
authby=psk
auto=start
keyingtries=%forever
rekey=yes
dpdaction=restart
closeaction=restart
keyexchange=ikev1
aggressive=yes
fragmentation=yes
ike=aes-sha-modp1024
esp=aes-sha
type=tunnel
forceencaps=yes
left=%defaultroute
leftid=@GroupName
leftauth=psk
leftauth2=xauth
xauth_identity=user.name
leftsourceip=%config
right=1.1.1.1
rightauth=psk
rightsubnet=0.0.0.0/0
iptables-save:
*filter
:INPUT ACCEPT [762:57704]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [457:52596]
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -s 192.168.10.0/24 ! -d 192.168.10.0/24 -o eth0 -j ACCEPT
COMMIT
*nat
:PREROUTING ACCEPT [3:984]
:INPUT ACCEPT [3:984]
:OUTPUT ACCEPT [1:104]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -m policy --dir out --pol ipsec -j ACCEPT
-A POSTROUTING -s 10.10.0.0/24 -o eth0 -m policy --dir out --pol ipsec -j ACCEPT
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT