Я пытаюсь настроить VPN-клиент Road Warrior в дистрибутиве Linux.
Вот моя конфигурация:
Клиент VPN LINUX - 1.1.1.1 - ИНТЕРНЕТ - 2.2.2.2 - FireWall - 10.0.0.0/8
Я хочу создать туннель между удаленной сетью 10.0.0.0/8 и VPN-клиентом, который будет иметь адрес 172.16.0.3.
Я уже настроил это с помощью TheGreenBow, и он работал хорошо, поэтому проблема, с которой я столкнулся, связана с конфигурацией моего клиента, а не с моим брандмауэром.
Чтобы сделать эту конфигурацию в Linux, я буду использовать racoon.
Я изменил файл /etc/racoon/racoon.conf:
log notify;
path certificate "/etc/racoon/certs";
remote 2.2.2.2 {
exchange_mode main;
ca_type x509 "cacert.pem";
certificate_type x509 "cert.pem" "priv.key";
my_identifier asn1dn;
peers_identifier asn1dn;
doi ipsec_doi;
verify_cert on;
ike_frag on;
proposal_check obey;
mode_cfg off;
nat_traversal on;
lifetime time 21600 sec;
proposal {
encryption_algorithm aes256;
hash_algorithm sha2_256;
authentication_method rsasig;
dh_group 5;
}
generate_policy off;
}
sainfo anonymous {
lifetime time 3600 sec;
pfs_group 2;
encryption_algorithm aes256;
authentication_algorithm hmac_sha256;
compression_algorithm deflate;
}
`
Я изменил /etc/ipsec-tools.conf
spdadd 172.16.0.3/32[any] 10.0.0.0/8[any] any -P out ipsec
esp/tunnel/1.1.1.1-2.2.2.2/require;
spdadd 10.0.0.0/8[any] 172.16.0.3/32[any] any -P in ipsec
esp/tunnel/2.2.2.2-1.1.1.1/require;
Затем я настроил виртуальный интерфейс для перенаправления всего потока, идущего в удаленную сеть:
ip link add link eth1 name vlan0 type vlan id 1
ip addr add 172.16.0.3/24 brd 172.16.0.255 dev vlan0
route add -net 10.0.0.0/8 gw 172.16.0.3 dev vlan0
Вот что у меня получилось, когда я сделал "ifconfig"
eth1 Link encap:Ethernet HWaddr 0c:54:a5:3a:4a:30
inet adr:1.1.1.1 Bcast:1.1.1.255 Masque:255.255.255.0
adr inet6: fe80::e54:a5ff:fe3a:4a30/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1300 Metric:1
Packets reçus:20775 erreurs:0 :0 overruns:0 frame:0
TX packets:17957 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
Octets reçus:15271974 (15.2 MB) Octets transmis:2688417 (2.6 MB)
Interruption:17 Mémoire:f7d00000-f7d20000
lo Link encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:65536 Metric:1
Packets reçus:611 erreurs:0 :0 overruns:0 frame:0
TX packets:611 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
Octets reçus:71525 (71.5 KB) Octets transmis:71525 (71.5 KB)
vlan0 Link encap:Ethernet HWaddr 0c:54:a5:3a:4a:30
inet adr:172.16.0.3 Bcast:172.16.0.255 Masque:255.255.255.0
adr inet6: fe80::e54:a5ff:fe3a:4a30/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1300 Metric:1
Packets reçus:0 erreurs:0 :0 overruns:0 frame:0
TX packets:142 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
Octets reçus:0 (0.0 B) Octets transmis:24137 (24.1 KB)
Какой у меня белый "маршрут"
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
default 1.1.1.1 0.0.0.0 UG 0 0 0 eth1
10.0.0.0 172.16.0.3 255.0.0.0 UG 0 0 0 vlan0
172.16.0.0 * 255.255.255.0 U 0 0 0 vlan0
1.1.1.1 * 255.255.255.0 U 1 0 0 eth1
Брандмауэр сообщает мне, что туннель открыт (этап 2 установлен).
Однако я не могу пинговать удаленную сеть (но она работала в Windows).
Когда я смотрю, что происходит на брандмауэре, я вижу, что пакеты ESP поступают на внешний интерфейс, но не пересылаются на внутренний интерфейс (что делается с Windows VPN).
Ты хоть представляешь, почему у Y такая проблема?
Вместо:
route add -net 10.0.0.0/8 gw 172.16.0.3 dev vlan0
пытаться:
ip route add to 10.0.0.0/8 via 172.16.0.3 dev vlan0 src 172.16.0.3