openwrt下配置ipsec,基于luci-app-ipsec-vpnd 注意不是luci-app-ipsec-server 后者有一些奇奇怪怪问题。

默认设置发现 外网无法拨上来。随后发现内网也无法拨上来。

配置文件

1

nano /etc/ipsec.conf

找到

1

# strictcrlpolicy=yes

取消注释，然后重启ipsec 就好了。

1

/etc/init.d/ipsec restart

启动脚本

如果重启后 这个上面的文件自动恢复，那就是有其它脚本处理过这个文件。经过检查 发现 是 /etc/init.d/ipsec 这个脚本，。找到 start_service() 这段 的config setup

修改下面的内容

1
2
3
4
5

config setup
    # strictcrlpolicy=yes
    # edit this form /etc/init.d/ipsec
    strictcrlpolicy=yes
    uniqueids=never

其他无法访问内网 等其他问题 没发现。都正常。

防火墙处理

另外 网络-防火墙-转发 将拒绝改为接受 ， 检查 通讯规则里面 应该有自动添加的 500 和4500 两个端口

如果是二级路由器 还需要在主路由做端口转发，这个不用多说了。

另外防火墙规则，我vpn网段是 10.10.10.2/24 添加如下内容（非必须）

1
2
3

tables -t nat -I POSTROUTING -s 10.10.10.0/24 -j MASQUERADE 
tables -I FORWARD -i vpn -s 10.10.10.0/24 -j ACCEPT 
ptables -I INPUT -i vpn -s 10.10.10.0/24 -j ACCEPT

如果想让vpn客户端也可以 科学上网，需要在对应的科学软件里面配置。 比如：ssrp的话，默认配置的情况下，只从访问控制 接口控制里面 选中两个vpn接口即可

启动ipsec vpn

系统，启动项，找到 ipsec 重启 或者启动