Я пытаюсь настроить этот сценарий с целью полного подключения между подсетями:
.--------------. .--------------. .--------------.
| линукс |--- LAN1 ---| NATing |--- ИНТЕРНЕТ ---| Cisco |--- LAN2
| сильныйЛебедь | 172.х.х.х | МАРШРУТИЗАТОР | | РВ130 | 192.168.а.а.
| VPN-шлюз | | | | |
'--------------' '---------------' '---------------'
172.гггг 192.168бб
Cisco RV130 прекрасно подключается к VPN-шлюзу, и туннель установлен:
# Strongswan statusall
подсеть-подсеть: ребенок: 172.x.x.x/16 === 192.168.a.a/24 ТУННЕЛЬ, dpdaction=clear
подсеть-подсеть{193}: 172.x.x.x/16 === 192.168.a.a/24
Но там нет движения через туннель. Пинг не проходит с обеих сторон, другие протоколы (ARP, SSH, HTTP) тоже.
Мои iptables на сервере strongSwan:
-A FORWARD -s 192.168.a.a/24 -d 172.x.x.x/16 -i eth0 -m policy --dir in --pol ipsec --reqid 62 --proto esp -j ПРИНЯТЬ
-A FORWARD -s 172.x.x.x/16 -d 192.168.a.a/24 -o eth0 -m policy --dir out --pol ipsec --reqid 62 --proto esp -j ПРИНЯТЬ
Я также должен упомянуть, что сервер strongSwan успешно обеспечивает VPN для многих соединений подсеть-клиент.
Strongswan.conf:
[...]
conn подсеть-подсеть
авто=добавить
сжать=нет
тип=туннель
обмен ключами=ikev1
фрагментация=да
ike=aes256-sha256-modp1024,3des-sha1-modp1024!
esp=aes256-sha256-modp1024,3des-sha1!
dpdaction=очистить
dpddelay=300 с
слева=%defaultroute
leftid=@<полное доменное имя>
левый брандмауэр = да
leftcert=servcert.der
leftsendcert=всегда
левая подсеть=172.х.х.х/16
right=<общедоступный IP-адрес RV130>
rightid=<общедоступный IP-адрес RV130>
правая подсеть = 192.168.a.a/24
авторизация = секрет
Что я делаю не так?
