我连接了2个Strongswan,每个Ping都可以Ping。
当两个子网中的任何一个要对另一端ping一个IP时,我的问题就不会出现。
我知道我需要添加一些伪装,但是我不知道该怎么做(我已经使用route add -net x.x.x.x/x gw x.x.x.x在其他网络元素上添加了路由)
面A:
conn a-to-b
leftfirewall=yes
lefthostaccess=yes
authby=secret
auto=start
compress=no
type=tunnel
keyexchange=ike
fragmentation=yes
forceencaps=no
dpdaction=clear
dpddelay=300s
rekey=no
left=172.16.2.249
leftid=1.1.6.13
leftsubnet=172.16.2.0/24
rightid=%any
right=1.1.7.3
rightsubnet=10.10.0.0/24
ike=aes128gcm16-sha256-modp2048
esp=aes128gcm16-sha256-modp4096
B面:
conn b-to-a
authby=secret
auto=start
compress=no
type=tunnel
keyexchange=ike
fragmentation=yes
leftfirewall=yes
forceencaps=no
dpdaction=clear
dpddelay=300s
rekey=no
left=1.1.7.3
leftsubnet=10.10.0.0/24
rightid=%any
right=1.1.6.13
rightsubnet=172.16.2.0/24
ike=aes128gcm16-sha256-modp2048
esp=aes128gcm16-sha256-modp4096
非常感谢!
答案 0 :(得分:0)
所以我需要:
在子网为10.10.0.0/24的gw上:
iptables -t nat -A POSTROUTING -s 172.16.2.0/24 -d 10.10.0.0/24 -j MASQUERADE
iptables -A FORWARD -s 172.16.2.0/24 -d 10.10.0.0/24 -j ACCEPT
具有子网172.16.2.0/24的gw:
iptables -t nat -A POSTROUTING -s 10.10.0.0/24 -d 172.16.2.0/24 -j MASQUERADE
iptables -A FORWARD -s 10.10.0.0/24 -d 172.16.2.0/24 -j ACCEPT
就是这样!