iT邦幫忙

0

strongswan 與 防火牆 site to site vpn 問題

strongswan site to site vpn unifi security gateway
ray2211 2023-06-09 17:29:53699 瀏覽

  • 分享至 

  • xImage

首先是資訊
A端點 Digitalocean VM 內部IP:10.104.0.10
B端點 自家網路 內部IP:192.168.1.195 防火牆為unifi udm

我在Digitalocean VM上安裝了strongswan 打算與自家內部網路做site to site vpn
一開始設定好了 但內部IP互打都不通
後來是在ipsec.conf上加了一條
forceencaps=yes
才讓B端點內部IP可以連到A端點內部IP
但反過來 A端點卻連不到B
且雖然B端點內部IP可以連到A端點內部IP
但卻連不到與其他A端點內部IP相同網段的VM(10.104.0.9 & 10.104.0.2 & 10.104.0.3)

從自家內部網路192.168.1.195 tracert 10.116.0.9會顯示
https://ithelp.ithome.com.tw/upload/images/20230609/20134577KxuHGaqwH9.png
另外付上ipsec.conf
https://ithelp.ithome.com.tw/upload/images/20230609/20134577pjWAVo6jib.png

登入發表討論
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

0
zyman2008
iT邦大師 6 級 ‧ 2023-06-10 15:51:40

你要在其他 VM 加 static route 才能透過 VM-10.104.0.10 的 VPN 連家裡內網.

以 Debian Linux VM 為例, 修改 /etc/network/interfaces
在 VM 內網網卡 eth1 下, up 和 down command 加入 add /delete static route

auto eth1
iface eth1 inet static
    hwaddress XX:XX:XX:XX:XX:XX
    address   10.104.0.2
    netmask   255.255.240.0
    up /sbin/ip route add 192.168.1.0/24 via 10.104.0.10 dev eth1
    down /sbin/ip route delete 192.168.1.0/24 via 10.104.0.10 dev eth1
ray2211 iT邦新手 5 級 ‧ 2023-06-12 09:26:45 檢舉

感謝大大!! 成功了!!

登入發表回應

我要發表回答

立即登入回答
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22199
完賽人數
602
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙