09
2019
05
14:41:03

strongswan的ipsec两种连接方式

strongswan的ipsec连接有两种方式, 一种是基于策略的即policy, 一种是基于路由的即route-based 也就是采用vti接口的方式
然后,在调通policy之后,开始调试vti,结果无论怎么配置都不能成功,无法通过这个接口跟后台正常通信
ubuntu上面是调通了, openwrt/ddwrt都试过 调不通
于是tcpdump抓取数据包,发现 ping对端子网主机的时候对端数据有回了, 也是esp数据包, 
但数据进入WAN口之后就不知道去哪了, 数据没有到vti接口 应用层收不到, 怀疑是iptables里面哪里drop掉了, 
于是粗暴地将所有表都清了, 默认策略是accept的情况下 应用还是无法收到数据


问题已解决,
vti有个mark, 数据进来可能需要打mark(ubuntu上没打也行 )
本次路由上mangle表input那边打了mark就通了



推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/680.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: