OpenWrtでIPSec VPN(9)『FireWallの追加設定』

FireWallに許可する設定を入れないとIPSec通信できないので追加設定を行います。

参考情報

この記事を書くにあたって引き続き以下の情報を参考にしています
OpenWRTの公式サイトのDocument:『install/configure strongswan for IPhone/IPad』
StrongSwan公式サイトのDocument: 『iOS (Apple iPhone, iPad...) and Mac OS X』

/etc/config/firewall の設定

# vi /etc/config/firewall

#config IPSec
config rule
	option name Allow-ESP
	option 'src' 'wan'
	option 'proto' 'esp'
	option 'target' 'ACCEPT'

config rule
	option name Allow-IKE
	option 'src' 'wan'
	option 'proto' 'udp'
	option 'dest_port' '500'
	option 'target' 'ACCEPT'

config rule
	option name Allow-IKE(NAT-T)
	option 'src' 'wan'
	option 'proto' 'udp'
	option 'dest_port' '4500'
	option 'target' 'ACCEPT'

config rule
	option name Allow-AH
	option 'src' 'wan'
	option 'proto' 'ah'
	option 'target' 'ACCEPT'

/etc/firewall.user の設定

# vi /etc/firewall.user

iptables -I INPUT  -m policy --dir in --pol ipsec --proto esp -j ACCEPT
iptables -I FORWARD  -m policy --dir in --pol ipsec --proto esp -j ACCEPT
iptables -I FORWARD  -m policy --dir out --pol ipsec --proto esp -j ACCEPT
iptables -I OUTPUT   -m policy --dir out --pol ipsec --proto esp -j ACCEPT

Firewallの再起動

設定変更後はFirewall(iptables)の再起動が必要です。
# /etc/init.d/firewall reload

設定が正常なら以下の様なメッセージが表示されます。
Loading defaults
Loading synflood protection
Adding custom chains
Loading zones
Loading forwardings
Loading rules
Loading redirects
Loading includes
Optimizing conntrack
Loading interfaces