Я успешно установил VPN-туннель Ikev2 с помощью гибкого VPN-клиента Win10 Pro и сервера Linux StrongSwan. Клиент может пинговать сервер strongswan (192.168.0.11) и любые другие машины в сети 192.168.0.0/24. Но сервер StrongSwan не может пинговать / пинговать подключенный RoadWarrior. Поэтому некоторые программы терпят неудачу, поскольку не могут связаться с клиентом.
Моя сетевая настройка:
Win10 (192.168.0.10/VirtualIP:192.168.0.100) === (192.168.0.1) Fritz Router # 1 (91.13.xx от ISP) === INTERNET === (217.94.xx от ISP) Fritz Router # 2 ( 192.168.0.1) === (192.168.0.11) Сервер StrongSwan
ipsec.conf:
conn %default
ikelifetime = 60m
keylife = 20m
rekeymargin = 3m
keyingentries = 1
keyexchange = ikev2
rekey = no
conn vpn
left = 192.168.0.11
leftsubnet = 192.168.0.0/24
leftauth = pubkey
leftcert = server1_Host_cert.pem
right = %any
rightauth = eap-mschapv2
rightsendcert = never
rightsourceip = 192.168.0.100
eap_identity = %any
auto = add
include /var/lib/strongswan/ipsec.conf.inc
ip route показать таблицу 220:
192.168.0.100 via 192.168.0.1 dev eth0 proto static src 192.168.0.11
Политика ip xfrm:
src 192.168.0.100/32 dst 192.168.0.0/24
dir fwd priority 2851 ptype main
tmpl src 91.13.x.x dst 192.168.0.11
proto esp reqid 8 mode tunnel
src 192.168.0.100/32 dst 192.168.0.0/24
dir in priority 2851 ptype main
tmpl src 91.13.x.x dst 192.168.0.11
proto esp reqid 8 mode tunnel
src 192.168.0.0/24 dst 192.168.0.100/32
dir out priority 2851 ptype main
tmpl src 192.168.0.11 dst 91.13.x.x
proto esp reqid 8 mode tunnel
Маршрутизатор Fritz Router №2 использует брандмауэр в хост-сети. ESP, UDP500 и UDP4500 перенаправляются на сервер strongswan. Сам сервер не использует iptables (политика ACCEPT).
Спасибо за вашу помощь.
Решено: по какой-то причине брандмауэр Windows отключил мое правило intranet: allow. Таким образом, он заблокировал ping и arping в сети VPN. После повторного ввода правила (источник: 192.168.0.0/24 == разрешить) все заработало.