路由器端口回流功能失效

[Mick-Mi]

任务列表

• [ ] 我搜索了已有的 Issues，没有找到类似的改进建议
• [ ] 这个改进建议是关于 VPN 安装脚本，而不是 IPsec VPN 本身
• [ ] 我已阅读 自述文件
• [ ] 我已阅读 重要提示
• [ ] 我已按照说明 配置 VPN 客户端
• [ ] 我检查了 IKEv1 故障排除，IKEv2 故障排除 以及 VPN 状态

描述改进建议

我是本地linux 上搭建了ikev2 vpn 方便手机组网, 但是当我手机连接vpn后, 发现手机流量到路由器的端口回流功能失效, 因为我本地搭建了一些只内部使用的web服务, 映射的443端口, 而端口回流失效后, 手机连接vpn就不能访问这些443端口的web服务了, 因为要走一次运营商再回来, 443又是被封了的.
我之前搭建openvpn 能够正常端口回流.

你的改进建议与遇到的问题有关吗？请描述。 不知道能够通过iptable 之类的改进这个问题吗

其它信息 添加关于该改进建议的其它信息。

[hwdsl2]

@Mick-Mi 你好！对于你的用例，在手机连接到本地 Linux 上搭建的 IKEv2 VPN 时，手机的流量相当于是从该 Linux 服务器的 IP 发出的。在你配置端口回流时，源地址需要包括该 Linux 服务器的 IP。

另外也有可能是 VPN 服务器的 IPTables 规则阻止了该流量。你可以这样测试。首先在服务器上运行：

iptables -D FORWARD -j DROP

这样会允许所有转发的流量。然后断开并重新连接客户端。测试端口回流。 如果测试后端口回流仍然不工作，则很可能不是服务器端的问题。 如果测试后端口回流工作，你可以添加一个 LOG 规则来记录被禁止的流量。

iptables -A FORWARD -j LOG

重新测试后，使用 dmesg 命令查看 IPTables 防火墙记录，并将合适的允许规则添加到 FORWARD chain。 在测试完成后，恢复删除的规则以提高安全性：

iptables -A FORWARD -j DROP