IPSec VPN路由

Question

这应该是一个非常简单的问题，但我不能谷歌它的答案！

我在1.1.1.1和2.2.2.2之间建立了一个ipsec VPN隧道(公共IP)。第一台机器(1.1.1.1)有一个带有网关10.253.0.93的LAN。在这个局域网中，有一个IP 172.21.83.60的机器( gw已经有规则将流量从10.252.0.93转发到172.21.83.60)。

在2.2.2.2机器中，我能够正常地平10.252.0.93。这证明VPN的建立是正确的。

我的问题是:我需要做什么才能让机器从2.2.2.2变为172.21.83.60？我尝试使用命令添加一条路由：

route add -net 172.21.83.0 netmask 255.255.255.0 gw 10.253.0.93

但得到了：

SIOCADDRT: No such process

Answer 1

那纳特呢?你和iptables的交通情况如何？您不应该这样做( ipsec隧道的流量应该绕过NAT规则，如下所示：

iptables -t nat -A POSTROUTING ! -d <ipsec_lan> -j SNAT --to-source <ip>

linux中的ipsec vpn提供低级别的流量路由和加密，您可以用它来查看它。

ip xfrm state

另外，尝试为ping源代码选择接口，可能会有所帮助。