strongswan on openwrt

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

OpenWrt 是一个专门面向嵌入式设备的 Linux 发行版。你可以将 OpenWrt 支持的型号的嵌入式设备，比如各种路由器上的系统，换成一个有更多可能性可以折腾的 Linux 系统。

OpenWrt 官方网站

这是一个创建于 3976 天前的主题，其中的信息可能已经有所发展或是发生改变。

前几天在vps上装了strongswan，ios android连上去，比ss觉得快，现在想在openwrt上弄一个strongswan连到vps上去，有谁玩过？求指点。

第 1 条附言 2014-12-01 22:36:13 +08:00

http://marc.info/?l=strongswan-users&m=128022450705226&w=2

第 2 条附言 2014-12-02 15:01:29 +08:00

Strongswan 没有virtual eth 看来不行

第 3 条附言 2014-12-05 10:31:49 +08:00

mikrotik[121]: ESTABLISHED 40 seconds ago, xxx.xxx.xxx.xxx[xxx.xxx.xxx.xxx]...110.188.32.239[110.188.32.239],rb450g连上去了，psk认证，怎么倒流量过去呢

第 4 条附言 2014-12-08 13:13:40 +08:00

openwrt
route add -net 192.168.87.0 netmask 255.255.255.0 gw 192.168.89.1
vps
route add -net 192.168.89.0/24 gw 192.168.87.1 dev eth0:1

就通了，原来是路由没有写

第 5 条附言 2014-12-23 19:31:26 +08:00

终于搞好了，国内外分流！！

Strongswan

OpenWrt

VPS

25 条回复 2015-10-16 13:48:50 +08:00

linfx7

2014-12-02 16:18:08 +08:00 via iPhone

strongswan官网上有教程和例子找一个ikev2 site2site的例子看一下就会了

debiansid

2014-12-02 18:12:51 +08:00

@linfx7 vps那头没有subnet，现在用psk ikev1 连上去了，没办法把路由指过去啊

linfx7

2014-12-03 00:42:57 +08:00 via iPad

@debiansid
可以把那个subnet设为 0.0.0.0/0 就是全网都转到通道里试试看行不行
另外可以手动加iptables规则

在openwrt官网里可以找到一个strongswan的设置说明（关于ios），虽然和你的需求无关，不过里边有iptables的例子，你可以参考下

linfx7

2014-12-03 00:46:01 +08:00 via iPad

@debiansid
strongswan是不虚拟出网卡的貌似
不过可以用iptables解决，把流量导进加密通道

debiansid

2014-12-03 08:56:27 +08:00

@linfx7 你说的那个是服务器端，iptables masquerade，我的openwrt的strongswan做客户端，国内流量走adsl默认网关，国外走ipsec加密通道，我再研究下怎么搞。

debiansid

2014-12-03 08:57:09 +08:00

@linfx7 客户端拨号上去，是可以分配到ip地址的，strongswan做host-host，只有通道。

linfx7

2014-12-03 09:51:11 +08:00

@debiansid
我理解你的意思
客户端也是用iptables实现的，至少我这里是这样做出来的
举个栗子
iptables -I OUTPUT -d 目的网段 --dir out --pol ipsec --proto esp -j ACCEPT
（规则可能有错，凭记忆写出来的）
这个是路由器上的规则，把内网过来的，指向目标网段的包导进加密通道

debiansid

2014-12-03 11:10:29 +08:00 via iPhone

回去试试看客户端有两个一个是ros rb450g 一个openwrt

debiansid

2014-12-04 08:26:46 +08:00 via iPhone

@linfx7 给个联系方式探讨下

linfx7

2014-12-05 00:38:38 +08:00

@debiansid
企鹅：461027325

Luzifer

2014-12-10 09:04:48 +08:00

整个教程学习学习.

carrionlee

2015-01-06 11:11:51 +08:00

求完整教程啊，也想搞

cs4814751

2015-02-10 16:29:30 +08:00 via iPad

有联系方式吗也想在路由器上搞一个求教

debiansid

2015-02-10 18:23:51 +08:00 via iPhone

@cs4814751 啥问题？

neroanelli

2015-02-22 22:16:09 +08:00 via Android

@debiansid
@linfx7
遇到同样的问题，我现在已经将ipsec通道建立了，但是strongswan不会生成接口，不知道如何导入流量到ipsec tunnel中。
同时，我的vps那头没有subnet，路由ip段为192.168.0.0/24，ipsec分配ip为172.0.0.1。

eurostar

2015-03-01 11:48:32 +08:00

恭喜你走通这个朝的僻径。请问可以共享一下strongswan在openwrt做客户端的完整配置吗？

debiansid

2015-03-01 12:36:18 +08:00 via iPhone

需要配合iptables

eurostar

2015-03-02 00:10:24 +08:00

@debiansid 请给个具体的例子好吗？我这边tunnel已经建立起来。就是如何将局域网的出口流量路由到virtual ip上。多谢！

debiansid

2015-03-02 08:55:54 +08:00 via iPhone

写路由或者iptables 不是有例子

/tr>

eurostar

2015-03-02 13:35:47 +08:00

@debiansid 需要具体的iptables例子，上面的例子是不准确。

debiansid

2015-03-02 13:41:22 +08:00

@eurostar 你要转发所有的流量？

eurostar

2015-03-02 19:36:48 +08:00

@debiansid 是的。因为这种运行方式是最基本的。

debiansid

2015-03-02 21:50:09 +08:00 via iPhone

@eurostar 不分国内外？

chenhuaecho

2015-10-16 13:17:47 +08:00

求 openwrt stongswan 的配置我怎么都连不上

debiansid

2015-10-16 13:48:50 +08:00 via iPhone

Strongswan 网站有 net2net 用证书连