请教一个关于strongswan的vti接口数据流向问题

beyondhong

近期在搞strongswan 比较坎坷,
首先strongswan的ipsec连接有两种方式, 一种是基于策略的即policy, 一种是基于路由的即route-based 也就是采用vti接口的方式
然后,在调通policy之后,开始调试vti,结果无论怎么配置都不能成功,无法通过这个接口跟后台正常通信
ubuntu上面是调通了, openwrt/ddwrt都试过 调不通
于是tcpdump抓取数据包,发现 ping对端子网主机的时候对端数据有回了, 也是esp数据包, 但数据进入WAN口之后就不知道去哪了, 数据没有到vti接口 应用层收不到, 怀疑是iptables里面哪里drop掉了,
于是粗暴地将所有表都清了, 默认策略是accept的情况下 应用还是无法收到数据, 有点山穷水尽了
于是 发了这帖子 不知有谁遇到过这类问题, 有过数据包跟踪的经验 可以指点一二 谢谢!

(注册恩山以来 一直是个尴尬的存在, 这边基本不讨论路由技术的吗???)

zhaocz

主要是太深奥了，只能帮顶。

beyondhong

beyondhong

问题已解决,来个尴尬的自问自答
vti有个mark, 数据进来可能需要打mark(ubuntu上没打也行 实在神奇 原因有空查)
本次路由上mangle表input那边打了mark就通了