V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
OpenWrt 是一个专门面向嵌入式设备的 Linux 发行版。你可以将 OpenWrt 支持的型号的嵌入式设备,比如各种路由器上的系统,换成一个有更多可能性可以折腾的 Linux 系统。
OpenWrt 官方网站
debiansid
V2EX  ›  OpenWrt

strongswan on openwrt

  •  
  •   debiansid · 2014-12-01 20:16:13 +08:00 · 3108 次点击
    这是一个创建于 3681 天前的主题,其中的信息可能已经有所发展或是发生改变。
    前几天在vps上装了strongswan,ios android连上去,比ss觉得快,现在想在openwrt上弄一个strongswan连到vps上去,有谁玩过?求指点。
    第 1 条附言  ·  2014-12-01 22:36:13 +08:00
    第 2 条附言  ·  2014-12-02 15:01:29 +08:00
    Strongswan 没有virtual eth 看来不行
    第 3 条附言  ·  2014-12-05 10:31:49 +08:00
    mikrotik[121]: ESTABLISHED 40 seconds ago, xxx.xxx.xxx.xxx[xxx.xxx.xxx.xxx]...110.188.32.239[110.188.32.239],rb450g连上去了,psk认证,怎么倒流量过去呢
    第 4 条附言  ·  2014-12-08 13:13:40 +08:00
    openwrt
    route add -net 192.168.87.0 netmask 255.255.255.0 gw 192.168.89.1
    vps
    route add -net 192.168.89.0/24 gw 192.168.87.1 dev eth0:1

    就通了,原来是路由没有写
    第 5 条附言  ·  2014-12-23 19:31:26 +08:00
    终于搞好了,国内外分流!!
    25 条回复    2015-10-16 13:48:50 +08:00
    linfx7
        1
    linfx7  
       2014-12-02 16:18:08 +08:00 via iPhone
    strongswan官网上有教程和例子 找一个ikev2 site2site的例子看一下就会了
    debiansid
        2
    debiansid  
    OP
       2014-12-02 18:12:51 +08:00
    @linfx7 vps那头没有subnet,现在用psk ikev1 连上去了,没办法把路由指过去啊
    linfx7
        3
    linfx7  
       2014-12-03 00:42:57 +08:00 via iPad
    @debiansid
    可以把那个subnet设为 0.0.0.0/0 就是全网都转到通道里试试看行不行
    另外可以手动加iptables规则

    在openwrt官网里可以找到一个strongswan的设置说明(关于ios),虽然和你的需求无关,不过里边有iptables的例子,你可以参考下
    linfx7
        4
    linfx7  
       2014-12-03 00:46:01 +08:00 via iPad
    @debiansid
    strongswan是不虚拟出网卡的 貌似
    不过可以用iptables解决,把流量导进加密通道
    debiansid
        5
    debiansid  
    OP
       2014-12-03 08:56:27 +08:00
    @linfx7 你说的那个是服务器端,iptables masquerade, 我的openwrt的strongswan做客户端,国内流量走adsl默认网关,国外走ipsec加密通道,我再研究下怎么搞。
    debiansid
        6
    debiansid  
    OP
       2014-12-03 08:57:09 +08:00
    @linfx7 客户端拨号上去,是可以分配到ip地址的,strongswan做host-host,只有通道。
    linfx7
        7
    linfx7  
       2014-12-03 09:51:11 +08:00
    @debiansid
    我理解你的意思
    客户端也是用iptables实现的,至少我这里是这样做出来的
    举个栗子
    iptables -I OUTPUT -d 目的网段 --dir out --pol ipsec --proto esp -j ACCEPT
    (规则可能有错,凭记忆写出来的)
    这个是路由器上的规则,把内网过来的,指向目标网段的包导进加密通道
    debiansid
        8
    debiansid  
    OP
       2014-12-03 11:10:29 +08:00 via iPhone
    回去试试看 客户端有两个 一个是ros rb450g 一个openwrt
    debiansid
        9
    debiansid  
    OP
       2014-12-04 08:26:46 +08:00 via iPhone
    @linfx7 给个联系方式 探讨下
    linfx7
        10
    linfx7  
       2014-12-05 00:38:38 +08:00
    @debiansid
    企鹅:461027325
    Luzifer
        11
    Luzifer  
       2014-12-10 09:04:48 +08:00
    整个教程学习学习.
    carrionlee
        12
    carrionlee  
       2015-01-06 11:11:51 +08:00
    求完整教程啊,也想搞
    cs4814751
        13
    cs4814751  
       2015-02-10 16:29:30 +08:00 via iPad
    有联系方式吗 也想在路由器上搞一个 求教
    debiansid
        14
    debiansid  
    OP
       2015-02-10 18:23:51 +08:00 via iPhone
    @cs4814751 啥问题?
    neroanelli
        15
    neroanelli  
       2015-02-22 22:16:09 +08:00 via Android
    @debiansid
    @linfx7
    遇到同样的问题,我现在已经将ipsec通道建立了,但是strongswan不会生成接口,不知道如何导入流量到ipsec tunnel中。
    同时,我的vps那头没有subnet,路由ip段为192.168.0.0/24,ipsec分配ip为172.0.0.1。
    eurostar
        16
    eurostar  
       2015-03-01 11:48:32 +08:00
    恭喜你走通这个兲朝的僻径。请问可以共享一下strongswan在openwrt做客户端的完整配置吗?
    debiansid
        17
    debiansid  
    OP
       2015-03-01 12:36:18 +08:00 via iPhone
    需要配合iptables
    eurostar
        18
    eurostar  
       2015-03-02 00:10:24 +08:00
    @debiansid 请给个具体的例子好吗?我这边tunnel已经建立起来。就是如何将局域网的出口流量路由到virtual ip上。多谢!
    debiansid
        19
    debiansid  
    OP
       2015-03-02 08:55:54 +08:00 via iPhone
    写路由或者iptables 不是有例子
    eurostar
        20
    eurostar  
       2015-03-02 13:35:47 +08:00
    @debiansid 需要具体的iptables例子,上面的例子是不准确。
    debiansid
        21
    debiansid  
    OP
       2015-03-02 13:41:22 +08:00
    @eurostar 你要转发所有的流量?
    eurostar
        22
    eurostar  
       2015-03-02 19:36:48 +08:00
    @debiansid 是的。因为这种运行方式是最基本的。
    debiansid
        23
    debiansid  
    OP
       2015-03-02 21:50:09 +08:00 via iPhone
    @eurostar 不分国内外?
    chenhuaecho
        24
    chenhuaecho  
       2015-10-16 13:17:47 +08:00
    求 openwrt stongswan 的配置 我怎么都连不上
    debiansid
        25
    debiansid  
    OP
       2015-10-16 13:48:50 +08:00 via iPhone
    Strongswan 网站有 net2net 用证书连
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   888 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 20:22 · PVG 04:22 · LAX 12:22 · JFK 15:22
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.