Enfin, connectez-vous à strongSwan VPN avec ma victoire 7, mais Internet n’existe pas

2

Je crois avoir suivi toutes les instructions et que ma victoire 7 a été connectée, mais il n’ya pas d’Internet.

Contexte:

OS serveur : Ubuntu 12.04 sur linode xen VPS

strongSwan Version : 4.6.4

configurations dans /etc/ipsec.conf :

config setup
        charonstart=yes      
        plutostart=yes     
        nat_traversal=yes
        uniqueids=yes

conn ios
        keyexchange=ikev1
        authby=xauthpsk
        xauth=server
        left=%defaultroute
        leftsubnet=0.0.0.0/0
        leftfirewall=yes
        right=%any
        rightsubnet=10.11.0.0/24
        rightsourceip=10.11.0.0/24
        pfs=no
        auto=add

conn win7         
        keyexchange=ikev2
        ike=aes256-sha1-modp1024!
        esp=aes256-sha1!
        dpdaction=clear
        dpddelay=300s
        rekey=no
        left=%defaultroute
        leftsubnet=0.0.0.0/0
        leftauth=pubkey
        leftcert=serverCert.pem
        leftid="C=CH, O=strongSwan, CN=VPS ip"
        right=%any
        rightsourceip=10.11.1.0/24
        rightauth=eap-mschapv2
        rightsendcert=never
        eap_identity=%any
        auto=add

ajouté dns dans /etc/strongswan.conf :

charon {
dns1 = 8.8.8.8
dns2 = 208.67.222.222
...
pluto {
dns1 = 8.8.8.8
dns2 = 208.67.222.222
...

utilisateur ajouté dans /etc/ipsec.secrets :

: PSK "mypskpass"
user1 : XAUTH "pass1"

: RSA serverKey.pem
user2 : EAP "pass2"

#include /var/lib/strongswan/ipsec.secrets.inc

ajouté de nouvelles règles dans /etc/iptables.firewall.rules

*filter
# Accept IPsec VPN connections
-A INPUT -p udp --dport 500 -j ACCEPT
-A INPUT -p udp --dport 4500 -j ACCEPT

-A FORWARD -s 10.11.0.0/24 -j ACCEPT
-A FORWARD -s 10.11.1.0/24 -j ACCEPT
COMMIT
*nat

# Allow IPsec VPN connections

-A POSTROUTING -s 10.11.0.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.11.1.0/24 -o eth0 -j MASQUERADE

COMMIT

Et règles iptables activées :

iptables-restore < /etc/iptables.firewall.rules

ensuite redémarrage d'ipsec :

ipsec restart

Jusqu'à ce point, mes appareils iOS peuvent s'y connecter et tout fonctionne correctement .

Après cela, j’ai généré des certificats pour le serveur et le côté client, puis j'ai converti .pem en .p12 et l’ai importé sous win 7.

La bonne partie est que mon win 7 peut maintenant se connecter au vps (, mais il n’ya pas de connexion internet.

Je ne sais vraiment pas quelle partie a mal tourné, est-ce que quelqu'un pourrait m'aider s'il vous plaît?

Merci

Shane
la source
Comment la configuration du routage est-elle établie une fois le VPN établi?
Hennes
@Hennes: Qu'entendez-vous par configuration du routage? Comme prévu, Win 7 a été affecté à 10.11.1.1, et le DNS est également correct, mais je suppose qu’il pourrait y avoir un problème de NAT, mais je ne sais pas comment le configurer correctement.
Shane
Je me demandais si tout votre trafic est maintenant acheminé via le VPN vers l'autre point d'extrémité du tunnel VPN. Dans ce cas, vous devez vérifier les règles de transfert IP sur ce noeud final ou activer le tunneling fractionné.
Hennes
@Hennes: Eh bien, lorsque je teste la version 7, aucun autre client / périphérique n'est en ligne, je ne comprends donc pas ce que vous entendez par "est acheminé via le VPN vers un autre point d'extrémité du tunnel VPN". Et aussi, je règle exactement les mêmes règles iptables pour iOS et Win 7, seules les méthodes d’authentification sont différentes, ne voyez pas pourquoi cela ne fonctionne pas pour Win 7.
Shane
Existe-t-il une différence dans la situation NAT entre les clients iOS et Windows 7? Ces règles sont-elles toutes vos règles iptables? Quelle est la politique par défaut de vos chaînes iptables?
ecdsa

Réponses:

2

Vous avez configuré leftfirewall=yes dans votre connexion iOS mais pas dans l'autre. Lorsque cette option est activée, des règles de pare-feu supplémentaires sont installées pour chaque client connecté. De plus, s’il n’ya pas de NAT entre la passerelle et les clients, vous devrez autoriser le trafic ESP dans le INPUT et OUTPUT les chaînes en tant que trafic ne seront pas encapsulées UDP.

-A INPUT  -i eth0 -p esp -j ACCEPT
-A OUTPUT -o eth0 -p esp -j ACCEPT
ecdsa
la source
Merci beaucoup, mon pote! Je viens d'ajouter leftfirewall=yes dans Win 7 paramètres de connexion et maintenant tout fonctionne bien!
Shane