0

我有 2 个 strongswan 连接,每个都可以 ping 另一个。当任何一个子网想要 ping 另一端的 ip 时,我的问题就出现了,它不会发生。我知道我需要添加一些伪装,但我不知道如何(我已经在其他网络元素上添加了路由route add -net x.x.x.x/x gw x.x.x.x

A面:

conn a-to-b
    leftfirewall=yes
    lefthostaccess=yes
    authby=secret
    auto=start
    compress=no
    type=tunnel
    keyexchange=ike
    fragmentation=yes
    forceencaps=no
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=172.16.2.249
    leftid=1.1.6.13
    leftsubnet=172.16.2.0/24
    rightid=%any
    right=1.1.7.3
    rightsubnet=10.10.0.0/24
    ike=aes128gcm16-sha256-modp2048
    esp=aes128gcm16-sha256-modp4096

B面:

conn b-to-a
    authby=secret
    auto=start
    compress=no
    type=tunnel
    keyexchange=ike
    fragmentation=yes
    leftfirewall=yes
    forceencaps=no
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=1.1.7.3
    leftsubnet=10.10.0.0/24
    rightid=%any
    right=1.1.6.13
    rightsubnet=172.16.2.0/24
    ike=aes128gcm16-sha256-modp2048
    esp=aes128gcm16-sha256-modp4096

非常感谢!

4

1 回答 1

0

所以我需要:

在子网 10.10.0.0/24 的 gw 上:

iptables -t nat -A POSTROUTING -s 172.16.2.0/24  -d 10.10.0.0/24 -j MASQUERADE
iptables -A FORWARD  -s 172.16.2.0/24  -d 10.10.0.0/24 -j ACCEPT

在子网 172.16.2.0/24 的 gw 上:

iptables -t nat -A POSTROUTING -s 10.10.0.0/24 -d 172.16.2.0/24 -j MASQUERADE
iptables -A FORWARD -s 10.10.0.0/24 -d 172.16.2.0/24 -j ACCEPT

就是这样!

于 2020-09-26T12:45:30.810 回答