iKuai爱快流控路由

标题: Ipsec vpn点对点，本地子网不是内网网关 [打印本页]

作者: mxhkj2023 时间: 2023-11-30 15:08
标题: Ipsec vpn点对点，本地子网不是内网网关
如题，Ipsec vpn点对点，对方给的配置，我方本地子网为32位，本地子网不是内网网关，经过耗时8个工作日，已互通。
碰到的问题有以下情况：
一.主线路不通，参数核对无误，最终问题出在双方时间格式不一致，统一时间格式就好了。
二.主线路通了，需要进行nat转换，主要是对线路中的本地子网跟内网ip进行转换。
1.dnat，出站，访问对方，需将内网ip转换成对方提供的本地子网ip。PS：此处问题，出在对方路由有问题，导致请求对方不通。
2.snat，入站，对方访问我方，需将对方的请求过来的目的IP（本地子网）转换成内网ip。ps：此处问题，出在于我方内网pc有防火墙，导致入站失败。

总结，也就是说，从刚开始，第一次配置就是对的，各种其他原因导致一直不通，以下为我的配置截图。

作者: xibanya 时间: 2023-11-30 15:25
本帖最后由 xibanya 于 2023-11-30 15:27 编辑

1.dnat，出站，访问对方，需将内网ip转换成对方提供的本地子网ip。PS：此处问题，出在对方路由有问题，导致请求对方不通。

方法没错，但原因描述有误哈

问题出在你这端你的数据流可以封装后送到对端对端解封装后，肯定会发给下面的设备。设备回包，不会匹配上ipsec策略（因为对于对端来说，他的报文携带的目标地址并不是他策略感兴趣的地址）

因此对端发到你的数据，直接未作esp封装处理，而是直接裸露的原始包丢给了ISP ISP肯定直接丢了1

欢迎光临 iKuai爱快流控路由 (https://bbs.ikuai8.com/)