FireWallに許可する設定を入れないとIPSec通信できないので追加設定を行います。
参考情報
/etc/config/firewall の設定
# vi /etc/config/firewall
#config IPSec
config rule
option name Allow-ESP
option 'src' 'wan'
option 'proto' 'esp'
option 'target' 'ACCEPT'
config rule
option name Allow-IKE
option 'src' 'wan'
option 'proto' 'udp'
option 'dest_port' '500'
option 'target' 'ACCEPT'
config rule
option name Allow-IKE(NAT-T)
option 'src' 'wan'
option 'proto' 'udp'
option 'dest_port' '4500'
option 'target' 'ACCEPT'
config rule
option name Allow-AH
option 'src' 'wan'
option 'proto' 'ah'
option 'target' 'ACCEPT'
/etc/firewall.user の設定
# vi /etc/firewall.user
iptables -I INPUT -m policy --dir in --pol ipsec --proto esp -j ACCEPT
iptables -I FORWARD -m policy --dir in --pol ipsec --proto esp -j ACCEPT
iptables -I FORWARD -m policy --dir out --pol ipsec --proto esp -j ACCEPT
iptables -I OUTPUT -m policy --dir out --pol ipsec --proto esp -j ACCEPT
Firewallの再起動
設定変更後はFirewall(iptables)の再起動が必要です。
# /etc/init.d/firewall reload
設定が正常なら以下の様なメッセージが表示されます。
Loading defaults
Loading synflood protection
Adding custom chains
Loading zones
Loading forwardings
Loading rules
Loading redirects
Loading includes
Optimizing conntrack
Loading interfaces
最終更新:2020年03月14日 23:11