web-dev-qa-db-ja.com

最後に私の勝利7をstrongSwanVPNに接続しますが、インターネットがありません

私はすべての指示に従ったと思います、そして私の勝利7は接続されました、しかしインターネットがありません。

背景:

サーバーOS:linode xenVPS上のubuntu12.04

strongSwanバージョン:4.6.4

/ etc/ipsec.confの構成:

config setup
        charonstart=yes      
        plutostart=yes     
        nat_traversal=yes
        uniqueids=yes

conn ios
        keyexchange=ikev1
        authby=xauthpsk
        xauth=server
        left=%defaultroute
        leftsubnet=0.0.0.0/0
        leftfirewall=yes
        right=%any
        rightsubnet=10.11.0.0/24
        rightsourceip=10.11.0.0/24
        pfs=no
        auto=add

conn win7         
        keyexchange=ikev2
        ike=aes256-sha1-modp1024!
        esp=aes256-sha1!
        dpdaction=clear
        dpddelay=300s
        rekey=no
        left=%defaultroute
        leftsubnet=0.0.0.0/0
        leftauth=pubkey
        leftcert=serverCert.pem
        leftid="C=CH, O=strongSwan, CN=VPS ip"
        right=%any
        rightsourceip=10.11.1.0/24
        rightauth=eap-mschapv2
        rightsendcert=never
        eap_identity=%any
        auto=add

/ etc/strongswan.confにDNSを追加しました:

charon {
dns1 = 8.8.8.8
dns2 = 208.67.222.222
...
pluto {
dns1 = 8.8.8.8
dns2 = 208.67.222.222
...

/ etc/ipsec.secretsにユーザーを追加しました:

: PSK "mypskpass"
user1 : XAUTH "pass1"

: RSA serverKey.pem
user2 : EAP "pass2"

#include /var/lib/strongswan/ipsec.secrets.inc

/ etc/iptables.firewall.rulesにいくつかの新しいルールを追加しました

*filter
# Accept IPsec VPN connections
-A INPUT -p udp --dport 500 -j ACCEPT
-A INPUT -p udp --dport 4500 -j ACCEPT

-A FORWARD -s 10.11.0.0/24 -j ACCEPT
-A FORWARD -s 10.11.1.0/24 -j ACCEPT
COMMIT
*nat

# Allow IPsec VPN connections

-A POSTROUTING -s 10.11.0.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.11.1.0/24 -o eth0 -j MASQUERADE

COMMIT

そしてアクティブ化されたiptablesルール

iptables-restore < /etc/iptables.firewall.rules

次にipsecを再起動

ipsec restart

この時点まで、私のiOSデバイスはそれに接続でき、すべてが正常に機能します

その後、サーバー側とクライアント側の両方の証明書を生成し、.pemを.p12に変換して、win7にインポートしました。

良い部分は、私のwin 7がvps(に接続できるようになったことですが、インターネット接続がありません。

どの部分がうまくいかなかったのか本当にわかりません。誰か助けてくれませんか?

ありがとう

2
Shane

IOS接続でleftfirewall=yesを構成しましたが、他の接続では構成していません。このオプションを有効にすると、接続されているクライアントごとに追加のファイアウォールルールがインストールされます。また、ゲートウェイとクライアントの間にNATがない場合は、トラフィックが許可されないため、INPUTチェーンとOUTPUTチェーンのトラフィックを許可する必要がありますESP UDPカプセル化されます。

-A INPUT  -i eth0 -p esp -j ACCEPT
-A OUTPUT -o eth0 -p esp -j ACCEPT
2
ecdsa