1

我目前正在按照本教程在我的 Debian KVM 上设置 VPN LT2P/IPSec:http: //bailey.st/blog/2011/07/06/secure-ipsecl2tp-vpn-for-on-the-road-android-设备/

发出这个命令:

root@localhost:~# ipsec verify

我得到以下输出

Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path                             [OK]
Linux Openswan U2.6.28/K2.6.32-5-686 (netkey)
Checking for IPsec support in kernel                            [OK]
NETKEY detected, testing for disabled ICMP send_redirects   [FAILED]

  Please disable /proc/sys/net/ipv4/conf/*/send_redirects
  or NETKEY will cause the sending of bogus ICMP redirects!

NETKEY detected, testing for disabled ICMP accept_redirects [FAILED]

  Please disable /proc/sys/net/ipv4/conf/*/accept_redirects
  or NETKEY will accept bogus ICMP redirects!

Checking that pluto is running                                  [OK]
Pluto listening for IKE on udp 500                              [FAILED]
  Cannot execute command "lsof -i UDP:500": No such file or directory
Pluto listening for NAT-T on udp 4500                       [FAILED]
  Cannot execute command "lsof -i UDP:4500": No such file or directory
Checking for 'ip' command                                   [OK]
Checking for 'iptables' command                             [OK]
Opportunistic Encryption Support                                [DISABLED]

所以我在 /etc/sysctl.conf 中编辑了这个设置

禁用 ICMP 重定向接受

net.ipv4.conf.all.accept_redirects = 0

然后我在 /etc/init.d 中重新启动了网络

现在我的问题来了:我无法再通过 SSH 连接到我的 KVM,也无法 ping ip。(我唯一能用的是VNC)

在不启用 ICMP 重定向接受的情况下,如何再次通过 SSH 连接?

4

2 回答 2

4

我从 github gist 找到了解决方案: https ://gist.github.com/kryptek/7683862

于 2014-06-09T09:46:07.003 回答
1

如果您只是/etc/init.d/networking restart 确保您的接口已启动(例如使用ifconfig)。当我在 Debian wheezy 上重新启动网络时,它说:

运行 /etc/init.d/networking restart 已被弃用,因为它可能无法重新启用某些接口...(警告)

事实上,我确实发现我需要ifup eth0(重新启动也应该有效)。

我认为您的问题与 ICMP 重定向无关。我在运行 wheezy 的 KVM 实例上禁用了它,它接受 ping 和 ssh。如果不是上述问题,那么我怀疑您的 IPsec 配置中有问题并破坏了 netfilter。

于 2013-05-18T23:31:04.550 回答