允许对端对本端内网网段主机的访问
设置防火墙,用来转发所有对内网主机的访问包:
iptables -A FORWARD -j ACCEPT
内网主机网关要设置正确,设置为本端ipsec机器的IP。
允许对端对本端内网网段主机ping
设置防火墙iptables -A INPUT -i $ethname -p icmp --icmp-type echo-request -m limit --limit 10/s -j ACCEPT
iptables -A INPUT -i $ethname -p icmp --icmp-type echo-reply -m limit --limit 10/s -j ACCEPT
端口问题
如果ipsec服务器位于网关之后,那么这个网关的端口500和4500不要被其它ipsec连接占用了。如果被占用了,就无法建立连接,因为包不会转到内网ipsec服务器上来了。可以抓包查看。