Vì vậy, tôi đã quản lý để truyền tải IPSec qua ESP giữa hai máy chủ sử dụng racoon: máy chủ 'cục bộ' 1.1.1.1và điều khiển từ xa 2.2.2.2,. Nó chỉ hoạt động cho ICMP (lưu lượng truy cập khác bỏ qua SA), nhưng đó là một vấn đề riêng biệt. Để cố gắng có được tất cả lưu lượng truy cập để đi qua phương tiện giao thông an toàn, tôi đã quyết định thiết lập một đường hầm GRE, thay đổi setkeycấu hình của tôi từ

spdadd 2.2.2.2 1.1.1.1 any -P in ipsec esp/transport//require;
spdadd 1.1.1.1 2.2.2.2 any -P out ipsec esp/transport//require;

đến

spdadd 2.2.2.2 1.1.1.1 gre -P in ipsec esp/transport//require;
spdadd 1.1.1.1 2.2.2.2 gre -P out ipsec esp/transport//require;

cùng với flush; spdflushtiêu đề.

Về cơ bản, những gì tôi đã làm sau khi nó hoạt động là thiết lập các đường hầm GRE ở cả hai bên, được định cấu hình chính xác theo hiểu biết của tôi nhưng cuối cùng không được IPSec xử lý, theo như tôi nhớ. (Địa chỉ đường hầm / điểm cuối chính xác, đã định tuyến đúng vị trí). Trong mọi trường hợp, tôi bị phá hủy gre1vào cuối này và downed gre0, mà dường như không thể bị phá hủy.

Bây giờ, tất cả lưu lượng truy cập đến 2.2.2.2được chuyển hướng đến lo(theo tcpdump), không được liên kết với địa chỉ này. Không có routecho nó, cũng không có bất kỳ iptableschuyển tiếp hoặc bất kỳ thứ gì tương tự, và không có gì trong đó /etc/hosts. Điều này vẫn tồn tại bất kể có racoonđang chạy hay không - ngay cả khi nó được trả về chính xác cùng một cấu hình đã hoạt động với ICMP (tức là cấu hình đầu tiên ở trên).

Tôi muốn trở lại trạng thái 'đúng' mà không cần khởi động lại, nhưng hơn thế nữa tôi quan tâm đến cách hành vi này có thể xảy ra với những gì tôi đã nói cho đến nay. Vui lòng cung cấp chi tiết bổ sung nếu chúng hữu ích.

CHỈNH SỬA Đầu ra bổ sung, theo yêu cầu của Lairsdragon:

ip address

1: lo: mtu 65536 qdisc noqueue state UNKNOWN group default 
  link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
  inet 127.0.0.1/8 scope host lo
    valid_lft forever preferred_lft forever
  inet6 ::1/128 scope host 
    valid_lft forever preferred_lft forever
2: dummy0: mtu 1500 qdisc noop state DOWN group default 
  link/ether 0e:09:76:da:e2:22 brd ff:ff:ff:ff:ff:ff
3: eth0: mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
  link/ether f2:3c:91:50:42:a1 brd ff:ff:ff:ff:ff:ff
  inet 1.1.1.1/24 brd 1.1.1.255 scope global eth0
    valid_lft forever preferred_lft forever
  inet6 ---/64 scope global mngtmpaddr dynamic 
    valid_lft 2591995sec preferred_lft 604795sec
  inet6 ---/64 scope link 
    valid_lft forever preferred_lft forever
4: teql0: mtu 1500 qdisc noop state DOWN group default qlen 100
  link/void 
5: [email protected]: mtu 1480 qdisc noop state DOWN group default 
  link/ipip 0.0.0.0 brd 0.0.0.0
6: [email protected]: mtu 1476 qdisc noqueue state DOWN group default 
  link/gre 1.1.1.1 brd 2.2.2.2
  inet 2.2.2.2/8 scope global gre0
    valid_lft forever preferred_lft forever
  inet 10.0.0.1/32 scope global gre0
    valid_lft forever preferred_lft forever
7: [email protected]: mtu 1462 qdisc noop state DOWN group default qlen 1000
  link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff
8: [email protected]: mtu 1428 qdisc noop state DOWN group default 
  link/ipip 0.0.0.0 brd 0.0.0.0
9: ip6_vti0: mtu 1500 qdisc noop state DOWN group default 
  link/tunnel6 :: brd ::
10: sit0: mtu 1480 qdisc noop state DOWN group default 
  link/sit 0.0.0.0 brd 0.0.0.0
11: ip6tnl0: mtu 1452 qdisc noop state DOWN group default 
  link/tunnel6 :: brd ::
12: ip6gre0: mtu 1448 qdisc noop state DOWN group default 
  link/gre6 00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00 brd 00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00

ip route show 2.2.2.2

local 2.2.2.2 dev lo src 2.2.2.2
  cache 

ip xfrm policy

src 1.1.1.1/32 dst 2.2.2.2/32 proto tcp 
    dir out priority 2147483648 
    tmpl src 0.0.0.0 dst 0.0.0.0
        proto esp reqid 0 mode transport
src 1.1.1.1/32 dst 2.2.2.2/32 proto udp 
    dir out priority 2147483648 
    tmpl src 0.0.0.0 dst 0.0.0.0
        proto esp reqid 0 mode transport
src 1.1.1.1/32 dst 2.2.2.2/32 proto icmp 
    dir out priority 2147483648 
    tmpl src 0.0.0.0 dst 0.0.0.0
        proto esp reqid 0 mode transport
src 2.2.2.2/32 dst 1.1.1.1/32 
    dir fwd priority 2147483648 
    tmpl src 0.0.0.0 dst 0.0.0.0
        proto esp reqid 0 mode transport
src 2.2.2.2/32 dst 1.1.1.1/32 
    dir in priority 2147483648 
    tmpl src 0.0.0.0 dst 0.0.0.0
        proto esp reqid 0 mode transport
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket out priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket in priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket out priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket in priority 0 

Bạn sẽ nhận thấy 10.0.0.1ở trên kia ip address, đây là điểm cuối cục bộ của đường hầm mà tôi đang cố làm. (Ngoài ra, chỉ để tiết kiệm khuôn mặt ở đây, tôi không thấy bất kỳ đầu ra liên quan nào ip route show, chắc chắn không phải những gì chúng ta thấy ở đây với ip route get 2.2.2.2: /)

answer

Tôi muốn đề xuất thực hiện các lệnh sau để xóa nội dung mạng của bạn:

Xóa tập hợp biến đổi ipsec

ip xfrm policy flush
ip xfrm state flush

Xóa các địa chỉ IP khỏi greĐường hầm không sử dụng :

ip address flush dev gre0

Thao tác này sẽ xóa các phần không mong muốn khỏi cấu hình mạng đang chạy của bạn. Đảm bảo cũng xóa nội dung khỏi tệp cấu hình phân phối của bạn.

Chỉnh sửa : Đã xóa @NONE khỏi Giao diện gre0 theo nhận xét A__A__0.