Pertanyaan Akhirnya dapatkan win 7 saya terhubung ke strongSwan VPN, tetapi tidak ada Internet


Saya percaya saya telah mengikuti semua instruksi, dan kemenangan saya 7 terhubung, tetapi tidak ada Internet.

Latar Belakang:

OS Server: ubuntu 12.04 pada linode xen VPS

Versi strongSwan: 4.6.4

konfigurasi dalam /etc/ipsec.conf :

config setup
        charonstart=yes      
        plutostart=yes     
        nat_traversal=yes
        uniqueids=yes

conn ios
        keyexchange=ikev1
        authby=xauthpsk
        xauth=server
        left=%defaultroute
        leftsubnet=0.0.0.0/0
        leftfirewall=yes
        right=%any
        rightsubnet=10.11.0.0/24
        rightsourceip=10.11.0.0/24
        pfs=no
        auto=add

conn win7         
        keyexchange=ikev2
        ike=aes256-sha1-modp1024!
        esp=aes256-sha1!
        dpdaction=clear
        dpddelay=300s
        rekey=no
        left=%defaultroute
        leftsubnet=0.0.0.0/0
        leftauth=pubkey
        leftcert=serverCert.pem
        leftid="C=CH, O=strongSwan, CN=VPS ip"
        right=%any
        rightsourceip=10.11.1.0/24
        rightauth=eap-mschapv2
        rightsendcert=never
        eap_identity=%any
        auto=add

menambahkan dns pada /etc/strongswan.conf :

charon {
dns1 = 8.8.8.8
dns2 = 208.67.222.222
...
pluto {
dns1 = 8.8.8.8
dns2 = 208.67.222.222
...

menambahkan pengguna /etc/ipsec.secrets :

: PSK "mypskpass"
user1 : XAUTH "pass1"

: RSA serverKey.pem
user2 : EAP "pass2"

#include /var/lib/strongswan/ipsec.secrets.inc

menambahkan beberapa aturan baru di /etc/iptables.firewall.rules

*filter
# Accept IPsec VPN connections
-A INPUT -p udp --dport 500 -j ACCEPT
-A INPUT -p udp --dport 4500 -j ACCEPT

-A FORWARD -s 10.11.0.0/24 -j ACCEPT
-A FORWARD -s 10.11.1.0/24 -j ACCEPT
COMMIT
*nat

# Allow IPsec VPN connections

-A POSTROUTING -s 10.11.0.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.11.1.0/24 -o eth0 -j MASQUERADE

COMMIT

Dan aturan iptable diaktifkan:

iptables-restore < /etc/iptables.firewall.rules

Kemudian memulai kembali IPSec:

ipsec restart

Sampai titik ini, perangkat iOS saya dapat terhubung dan semuanya bekerja dengan baik.

Setelah itu saya menghasilkan sertifikat untuk kedua sisi server dan klien, kemudian dikonversi .pem menjadi .p12 dan diimpor ke win 7.

Bagian yang baik adalah bahwa kemenangan saya 7 sekarang dapat terhubung ke vps (, tetapi tidak ada koneksi internet.

Saya benar-benar tidak tahu bagian mana yang salah, adakah yang bisa membantu saya?

Terima kasih


2
2018-04-17 12:47


asal


Bagaimana pengaturan routing setelah VPN dibuat? - Hennes
@Hennes: Apa yang Anda maksud dengan pengaturan routing? Win 7 memang ditugaskan dengan 10.11.1.1 seperti yang diharapkan, dan juga dns benar, tapi saya kira mungkin ada semacam masalah NAT, hanya tidak tahu cara mengkonfigurasinya dengan benar. - Shane
Saya bertanya-tanya jika semua lalu lintas Anda sekarang diarahkan melalui VPN ke titik akhir lain dari terowongan VPN. Itu yang terjadi maka Anda perlu memeriksa aturan IP forwarding pada titik akhir itu, atau mengaktifkan split tunneling. - Hennes
@Hennes: Yah ketika saya menguji win 7 tidak ada klien / perangkat lain yang sedang online, jadi saya tidak benar-benar mendapatkan apa yang Anda maksud dengan "diarahkan melalui VPN ke titik akhir lain dari terowongan VPN". Dan juga saya menetapkan aturan iptables yang sama persis untuk iOS dan memenangkan 7 perangkat, hanya metode autentikasi yang berbeda, tapi jangan lihat mengapa tidak berfungsi untuk menang 7. - Shane
Apakah ada perbedaan dalam situasi NAT antara klien iOS dan Windows 7? Apakah di atas semua aturan iptables Anda? Apa kebijakan default dari rantai iptables Anda? - ecdsa


Jawaban:


Anda telah dikonfigurasi leftfirewall=yes di koneksi iOS Anda tetapi tidak di yang lain. Dengan opsi ini diaktifkan aturan firewall tambahan diinstal untuk setiap klien yang terhubung. Juga, jika tidak ada NAT antara gateway dan klien Anda harus mengizinkan lalu lintas ESP di INPUT dan OUTPUT rantai sebagai lalu lintas tidak akan dikompresi UDP.

-A INPUT  -i eth0 -p esp -j ACCEPT
-A OUTPUT -o eth0 -p esp -j ACCEPT

2
2018-04-17 15:41



Terima kasih banyak, sobat! Saya baru saja menambahkan leftfirewall=yes menjadi win 7 pengaturan koneksi dan sekarang semuanya bekerja baik-baik saja! - Shane