Назад | Перейти на главную страницу

VPN-клиент racoon Road Warrior - туннель установлен, но нет пинга

Я пытаюсь настроить VPN-клиент Road Warrior в дистрибутиве Linux.

Вот моя конфигурация:

Клиент VPN LINUX - 1.1.1.1 - ИНТЕРНЕТ - 2.2.2.2 - FireWall - 10.0.0.0/8

Я хочу создать туннель между удаленной сетью 10.0.0.0/8 и VPN-клиентом, который будет иметь адрес 172.16.0.3.

Я уже настроил это с помощью TheGreenBow, и он работал хорошо, поэтому проблема, с которой я столкнулся, связана с конфигурацией моего клиента, а не с моим брандмауэром.

Чтобы сделать эту конфигурацию в Linux, я буду использовать racoon.

Я изменил файл /etc/racoon/racoon.conf:

log notify;
path certificate "/etc/racoon/certs";

remote 2.2.2.2 {
    exchange_mode main;

    ca_type x509 "cacert.pem";
    certificate_type x509 "cert.pem" "priv.key";

    my_identifier asn1dn;
    peers_identifier asn1dn;

    doi ipsec_doi;

    verify_cert on;
    ike_frag on;

    proposal_check obey;

    mode_cfg off;
    nat_traversal on;
    lifetime time 21600 sec;

    proposal {
        encryption_algorithm aes256;
        hash_algorithm sha2_256;
        authentication_method rsasig;
        dh_group 5;
    }
    generate_policy off;
}

sainfo anonymous {
    lifetime time 3600 sec;
    pfs_group 2;
    encryption_algorithm aes256;
    authentication_algorithm hmac_sha256;
    compression_algorithm deflate;
}

`

Я изменил /etc/ipsec-tools.conf

spdadd 172.16.0.3/32[any] 10.0.0.0/8[any] any -P out ipsec
    esp/tunnel/1.1.1.1-2.2.2.2/require;

spdadd 10.0.0.0/8[any] 172.16.0.3/32[any] any -P in ipsec
    esp/tunnel/2.2.2.2-1.1.1.1/require;

Затем я настроил виртуальный интерфейс для перенаправления всего потока, идущего в удаленную сеть:

ip link add link eth1 name vlan0 type vlan id 1
ip addr add 172.16.0.3/24 brd 172.16.0.255 dev vlan0
route add -net 10.0.0.0/8 gw 172.16.0.3 dev vlan0

Вот что у меня получилось, когда я сделал "ifconfig"

eth1      Link encap:Ethernet  HWaddr 0c:54:a5:3a:4a:30  
      inet adr:1.1.1.1  Bcast:1.1.1.255  Masque:255.255.255.0
      adr inet6: fe80::e54:a5ff:fe3a:4a30/64 Scope:Lien
      UP BROADCAST RUNNING MULTICAST  MTU:1300  Metric:1
      Packets reçus:20775 erreurs:0 :0 overruns:0 frame:0
      TX packets:17957 errors:0 dropped:0 overruns:0 carrier:0
      collisions:0 lg file transmission:1000 
      Octets reçus:15271974 (15.2 MB) Octets transmis:2688417 (2.6 MB)
      Interruption:17 Mémoire:f7d00000-f7d20000 

lo        Link encap:Boucle locale  
      inet adr:127.0.0.1  Masque:255.0.0.0
      adr inet6: ::1/128 Scope:Hôte
      UP LOOPBACK RUNNING  MTU:65536  Metric:1
      Packets reçus:611 erreurs:0 :0 overruns:0 frame:0
      TX packets:611 errors:0 dropped:0 overruns:0 carrier:0
      collisions:0 lg file transmission:0 
      Octets reçus:71525 (71.5 KB) Octets transmis:71525 (71.5 KB)

vlan0     Link encap:Ethernet  HWaddr 0c:54:a5:3a:4a:30  
      inet adr:172.16.0.3  Bcast:172.16.0.255  Masque:255.255.255.0
      adr inet6: fe80::e54:a5ff:fe3a:4a30/64 Scope:Lien
      UP BROADCAST RUNNING MULTICAST  MTU:1300  Metric:1
      Packets reçus:0 erreurs:0 :0 overruns:0 frame:0
      TX packets:142 errors:0 dropped:0 overruns:0 carrier:0
      collisions:0 lg file transmission:0 
      Octets reçus:0 (0.0 B) Octets transmis:24137 (24.1 KB)

Какой у меня белый "маршрут"

Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
default         1.1.1.1         0.0.0.0         UG    0      0        0 eth1
10.0.0.0        172.16.0.3      255.0.0.0       UG    0      0        0 vlan0
172.16.0.0      *               255.255.255.0   U     0      0        0 vlan0
1.1.1.1         *               255.255.255.0   U     1      0        0 eth1

Брандмауэр сообщает мне, что туннель открыт (этап 2 установлен).

Однако я не могу пинговать удаленную сеть (но она работала в Windows).

Когда я смотрю, что происходит на брандмауэре, я вижу, что пакеты ESP поступают на внешний интерфейс, но не пересылаются на внутренний интерфейс (что делается с Windows VPN).

Ты хоть представляешь, почему у Y такая проблема?

Вместо:

route add -net 10.0.0.0/8 gw 172.16.0.3 dev vlan0


пытаться:

ip route add to 10.0.0.0/8 via 172.16.0.3 dev vlan0 src 172.16.0.3