strongswan ipsec 无法 ping 子网

Question

我有 2 个 strongswan 连接，每个都可以 ping 另一个。 当任何一个子网想要 ping 另一端的 ip 时，我的问题就出现了，它不会发生。 我知道我需要添加一些伪装，但我不知道如何（我已经使用route add -net x.x.x.x/x gw x.x.x.x 在其他网络元素上添加了路由）

A 面：

conn a-to-b
    leftfirewall=yes
    lefthostaccess=yes
    authby=secret
    auto=start
    compress=no
    type=tunnel
    keyexchange=ike
    fragmentation=yes
    forceencaps=no
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=172.16.2.249
    leftid=1.1.6.13
    leftsubnet=172.16.2.0/24
    rightid=%any
    right=1.1.7.3
    rightsubnet=10.10.0.0/24
    ike=aes128gcm16-sha256-modp2048
    esp=aes128gcm16-sha256-modp4096

B 面：

conn b-to-a
    authby=secret
    auto=start
    compress=no
    type=tunnel
    keyexchange=ike
    fragmentation=yes
    leftfirewall=yes
    forceencaps=no
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=1.1.7.3
    leftsubnet=10.10.0.0/24
    rightid=%any
    right=1.1.6.13
    rightsubnet=172.16.2.0/24
    ike=aes128gcm16-sha256-modp2048
    esp=aes128gcm16-sha256-modp4096

非常感谢！

Answer 1

所以我需要：

在子网 10.10.0.0/24 的 gw 上：

iptables -t nat -A POSTROUTING -s 172.16.2.0/24  -d 10.10.0.0/24 -j MASQUERADE
iptables -A FORWARD  -s 172.16.2.0/24  -d 10.10.0.0/24 -j ACCEPT

在子网 172.16.2.0/24 的 gw 上：

iptables -t nat -A POSTROUTING -s 10.10.0.0/24 -d 172.16.2.0/24 -j MASQUERADE
iptables -A FORWARD -s 10.10.0.0/24 -d 172.16.2.0/24 -j ACCEPT

就是这样！