有在 GCP(Google Cloud Platform)搭建 strongswan 的嘛?

2017-03-11 18:40:15 +08:00
 churchmice
搭完可以正常连接上,但是访问不了 google 家的所有网站,因为 google 的服务器跟 VPS 在同一个内网的关系?
有办法解决吗?

1.在默认防火墙的基础上加了 ESP,AH,UDP:500,UDP:4500 的放行规则
2. 虚拟 IP 池设置的是 10.0.64.0/24
3. 也在 iptables 里面加了 iptables -t nat -A POSTROUTING -s 10.0.64.0/24 -o eth0 -j MASQUERADE

具体的配置如下:

config setup
#charondebug="ike 1, knl 1, cfg 0"
uniqueids=no

conn ikev2-vpn
# leftfirewall=yes
auto=add
compress=no
type=tunnel
keyexchange=ikev2
fragmentation=yes
forceencaps=yes
ike=aes256-sha1-modp1024,3des-sha1-modp1024!
esp=aes256-sha1,3des-sha1!
dpdaction=clear
dpddelay=300s
rekey=no
left=%any
leftid=@bla_bla_bla
leftcert=/etc/ipsec.d/certs/serverCert.pem
leftsendcert=always
leftsubnet=0.0.0.0/0
right=%any
rightid=%any
rightauth=eap-mschapv2
rightdns=8.8.8.8,8.8.4.4
rightsourceip=10.0.64.0/24
rightsendcert=never
eap_identity=%identity
7772 次点击
所在节点    问与答
28 条回复
blues9
2017-03-12 21:19:08 +08:00
@churchmice
对了,还有一个现象就是 google 家的网站访问都没问题,别的就不行。总感觉是路由哪里有问题,但找不到原因。
churchmice
2017-03-12 23:25:47 +08:00
@blues9 tcpdump 看了下是 MTU 有问题

need to frag (mtu 1398), length 556



所以 ping 没有问题,但是 wget 有问题
churchmice
2017-03-12 23:54:22 +08:00
@blues9 搞定,在客户端把 MTU 设成 1360 就好了
blues9
2017-03-13 08:13:33 +08:00
@churchmice
恭喜。我的 openvpn 还是没搞定,还是 dns 不通
churchmice
2017-03-13 12:12:31 +08:00
@blues9 那只能 server 端 tcpdump 抓包了
sdrzlyz
2017-06-06 11:25:03 +08:00
同样的问题。其他网站 ok,但是 google 自家的就不行,也是通过客户端设施 MTU 可以搞定。这个很奇怪啊。。。为什么默认的 1400 就不行呢? server 端的 mtu 是 1460.
churchmice
2017-06-06 12:11:50 +08:00
@sdrzlyz GCP 内网的锅吧
blues9
2018-11-01 14:26:44 +08:00
我的 open vpn 的问题后来解决了,需要在创建 instance 的时候在网络设置里打开 ip forwarding 开关。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/346711

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX