×

strongswan的ipsec两种连接方式

hqy hqy 发表于2019-05-09 14:41:03 浏览4106 评论0

抢沙发发表评论

strongswan的ipsec连接有两种方式, 一种是基于策略的即policy, 一种是基于路由的即route-based 也就是采用vti接口的方式
然后,在调通policy之后,开始调试vti,结果无论怎么配置都不能成功,无法通过这个接口跟后台正常通信
ubuntu上面是调通了, openwrt/ddwrt都试过 调不通
于是tcpdump抓取数据包,发现 ping对端子网主机的时候对端数据有回了, 也是esp数据包, 
但数据进入WAN口之后就不知道去哪了, 数据没有到vti接口 应用层收不到, 怀疑是iptables里面哪里drop掉了, 
于是粗暴地将所有表都清了, 默认策略是accept的情况下 应用还是无法收到数据


问题已解决,
vti有个mark, 数据进来可能需要打mark(ubuntu上没打也行 )
本次路由上mangle表input那边打了mark就通了

打赏

本文链接:https://www.kinber.cn/post/680.html 转载需授权!

分享到:


推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

 您阅读本篇文章共花了: 

群贤毕至

访客