strongswan的ipsec连接有两种方式, 一种是基于策略的即policy, 一种是基于路由的即route-based 也就是采用vti接口的方式
然后,在调通policy之后,开始调试vti,结果无论怎么配置都不能成功,无法通过这个接口跟后台正常通信
ubuntu上面是调通了, openwrt/ddwrt都试过 调不通
于是tcpdump抓取数据包,发现 ping对端子网主机的时候对端数据有回了, 也是esp数据包, 但数据进入WAN口之后就不知道去哪了, 数据没有到vti接口 应用层收不到, 怀疑是iptables里面哪里drop掉了,
于是粗暴地将所有表都清了, 默认策略是accept的情况下 应用还是无法收到数据
问题已解决,
vti有个mark, 数据进来可能需要打mark(ubuntu上没打也行 )
本次路由上mangle表input那边打了mark就通了
本文链接:https://www.kinber.cn/post/680.html 转载需授权!
推荐本站淘宝优惠价购买喜欢的宝贝: