Я успешно установил IPSec на своем маршрутизаторе OpenWrt, но не могу пропинговать удаленную подсеть.
Ниже приведены соответствующие файлы
кот ipsec.conf
подключение vpn3
обмен ключами=ikev2
слева=10.129.170.132
справа=103.44.119.90
левая подсеть = 192.168.18.0/24
правая подсеть = 192.168.100.0/24
leftauth=psk
правоаутент = psk
авторизация = секрет
авто=старт
dpdaction=перезагрузка
dpddelay=30s
dpdtimeout = 150 с
keyingtries=%навсегда
мобайк=да
ike=aes128-sha1-modp1024!
esp=aes128-sha1-modp1024!
ikelifetime=28800с
срок службы = 28800 с
тип=туннель
форсэнкапс=да
статус ipsecвсе
Состояние демона IKE charon (strongSwan 5.8.2, Linux 4.14.241, mips):
время безотказной работы: 5 минут, с 08 апреля 13:10:22 2022
рабочие потоки: 11 из 16 бездействующих, 5/0/0/0 рабочих, очередь заданий: 0/0/0/0, запланированных: 5
загруженные плагины: charon aes des sha2 sha1 md4 md5 random nonce x509 pubkey gmp xcbc hmac kernel-netlink socket-default stroke updown
Прослушиваемые IP-адреса:
192.168.18.1
20.0.0.115
10.129.170.132
Соединения:
vpn3: 10.129.170.132...103.44.119.90 IKEv2, dpddelay=30 с
vpn3: local: [10.129.170.132] использует аутентификацию с предварительным общим ключом
vpn3: удаленный: [103.44.119.90] использует аутентификацию с предварительным общим ключом
vpn3: дочерний: 192.168.18.0/24 === 192.168.100.0/24 ТУННЕЛЬ, dpdaction=restart
Ассоциации безопасности (1 вверх, 0 соединение):
vpn3[1]: УСТАНОВЛЕНО 5 минут назад, 10.129.170.132[10.129.170.132]...103.44.119.90[103.44.119.90]
vpn3[1]: SPI IKEv2: e0ed3277e33b4d3a_i* 8f061450adb08c76_r, предварительная повторная аутентификация общего ключа через 7 часов
vpn3[1]: предложение IKE: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
vpn3{1}: УСТАНОВЛЕНО, TUNNEL, reqid 1, ESP в UDP SPI: c300f0e5_i c148ff6a_o
vpn3{1}: AES_CBC_128/HMAC_SHA1_96, 0 bytes_i, 22764 bytes_o (271 пкт, 62 с назад), изменение ключа через 7 часов
vpn3{1}: 192.168.18.0/24 === 192.168.100.0/24
Таблица списка IP-маршрутов 220
192.168.100.0/24 через 10.64.64.64 dev 3g-sim proto static src 192.168.18.1
маршрут -n
Таблица IP-маршрутизации ядра
Шлюз назначения Флаги Генмаски Метрика Ссылка Использование Iface
0.0.0.0 20.0.0.2 0.0.0.0 UG 1 0 0 eth0.2
0.0.0.0 10.64.64.64 0.0.0.0 УГ 2 0 0 3g-sim
10.64.64.64 0.0.0.0 255.255.255.255 UH 0 0 0 3g-sim
20.0.0.0 0.0.0.0 255.255.255.0 U 1 0 0 eth0.2
192.168.18.0 0.0.0.0 255.255.255.0 У 0 0 0 бр-лан
кошка /etc/config/брандмауэр
настройки по умолчанию
вариант вывода «ПРИНЯТЬ»
опция synflood_protect '1'
вариант ввода «ПРИНЯТЬ»
вариант вперед «ПРИНЯТЬ»
зона конфигурации
имя опции 'lan'
вариант вывода «ПРИНЯТЬ»
вариант ввода «ПРИНЯТЬ»
вариант вперед «ПРИНЯТЬ»
список сетей 'lan'
зона конфигурации
имя опции 'wan'
вариант вывода «ПРИНЯТЬ»
опция mtu_fix '1'
вариант ввода «ПРИНЯТЬ»
вариант вперед «ПРИНЯТЬ»
список сетей 'wan'
список сетей 'sim'
Маска опции '1'
переадресация конфигурации
опция src 'lan'
option dest 'ван'
правило конфигурации
имя параметра «Разрешить-DHCP-Renew»
опция src 'wan'
вариант прото 'udp'
опция dest_port '68'
вариант цели «ПРИНЯТЬ»
семейство опций 'ipv4'
правило конфигурации
имя параметра «Разрешить пинг»
опция src 'wan'
вариант прототипа 'icmp'
опция icmp_type 'эхо-запрос'
семейство опций 'ipv4'
вариант цели «ПРИНЯТЬ»
правило конфигурации
имя параметра «Разрешить-IGMP»
опция src 'wan'
опция proto 'igmp'
семейство опций 'ipv4'
вариант цели «ПРИНЯТЬ»
правило конфигурации
имя параметра «Разрешить-DHCPv6»
опция src 'wan'
вариант прото 'udp'
опция src_ip 'fc00::/6'
опция dest_ip 'fc00::/6'
опция dest_port '546'
семейство опций 'ipv6'
вариант цели «ПРИНЯТЬ»
правило конфигурации
имя параметра «Разрешить-MLD»
опция src 'wan'
вариант прототипа 'icmp'
опция src_ip 'fe80::/10'
список icmp_type '130/0'
список icmp_type '131/0'
список icmp_type '132/0'
список icmp_type '143/0'
семейство опций 'ipv6'
вариант цели «ПРИНЯТЬ»
правило конфигурации
имя параметра «Разрешить ввод ICMPv6»
опция src 'wan'
вариант прототипа 'icmp'
list icmp_type 'эхо-запрос'
list icmp_type 'эхо-ответ'
list icmp_type 'пункт назначения недостижим'
list icmp_type 'слишком большой пакет'
список icmp_type 'время истекло'
список icmp_type 'плохой заголовок'
список icmp_type 'неизвестный тип заголовка'
list icmp_type 'запрос маршрутизатора'
list icmp_type 'запрос соседей'
list icmp_type 'реклама-маршрутизатора'
список icmp_type 'соседская реклама'
ограничение опции «1000/сек»
семейство опций 'ipv6'
вариант цели «ПРИНЯТЬ»
правило конфигурации
имя параметра «Разрешить-ICMPv6-Forward»
опция src 'wan'
пункт назначения '*'
вариант прототипа 'icmp'
list icmp_type 'эхо-запрос'
list icmp_type 'эхо-ответ'
list icmp_type 'пункт назначения недостижим'
list icmp_type 'слишком большой пакет'
список icmp_type 'время истекло'
список icmp_type 'плохой заголовок'
список icmp_type 'неизвестный тип заголовка'
ограничение опции «1000/сек»
семейство опций 'ipv6'
вариант цели «ПРИНЯТЬ»
правило конфигурации
имя параметра «Разрешить-IPSec-ESP»
опция src 'wan'
опция назначения 'lan'
опция прото 'esp'
вариант цели «ПРИНЯТЬ»
правило конфигурации
имя параметра «Разрешить-ISAKMP»
опция src 'wan'
опция назначения 'lan'
опция dest_port '500'
вариант прото 'udp'
вариант цели «ПРИНЯТЬ»
конфигурация включает
вариант пути '/etc/firewall.user'
зона конфигурации
имя опции 'vpn'
вариант вывода «ПРИНЯТЬ»
вариант ввода «ПРИНЯТЬ»
вариант вперед «ПРИНЯТЬ»
опция mtu_fix '1'
правило конфигурации 'ipsec_nat'
вариант цели «ПРИНЯТЬ»
имя параметра «IPsec NAT-T»
опция src 'wan'
вариант прото 'udp'
опция dest_port '4500'
переадресация конфигурации
вариант назначения «vpn»
опция src 'lan'
переадресация конфигурации
опция назначения 'lan'
опция src 'vpn'
Правило IPtable
iptables -t nat -I POSTROUTING -m policy --pol ipsec --dir out -j ПРИНЯТЬ
Одна вещь, которую я заметил, заключается в том, что всякий раз, когда я нажимаю команду ifdown wan, я получаю ответ ping. Я думаю, что мой трафик идет по маршруту по умолчанию, а не по IPSec.
Пожалуйста помоги.
