В нашем исследовательском проекте нам нужно было развернуть сервер «Молли» в другой компании. Они заставили нас настроить туннель IPSec к их брандмауэру/шлюзу, и оттуда сообщения перенаправляются на наш сервер. Я настроил StrongSwan на нашей шлюзовой машине «Dolly», и все работает нормально. У Dolly есть публичный адрес, скажем, 1.1.1.1, и виртуальный адрес 10.10.1.1, необходимый для туннеля site2site, подключенного к одной и той же сетевой карте «eth0». С другой стороны, у Молли 10.10.2.1. Пока я вошел в систему Dolly, я без проблем могу пропинговать Molly по этому адресу, несмотря на то, что маршрутизация явно не настроена StrongSwan (подсеть 10.10.2.1/24 не отображается в таблице маршрутизации)
Я хотел бы предоставить нашей команде доступ к Молли. Долли (наш шлюз) находится в большой сети, поэтому я подумал о создании VPN, управляемой Долли, где члены команды могут подключаться. Я настроил OpenVPN с 10.10.1.0/24 в качестве адреса подсети. OpenVPN устанавливает 10.10.1.1 на своем устройстве «tap0», я могу подключиться к нему и получаю 10.10.1.2 на интерфейсе крана моего клиента OpenVPN. Я могу пинговать 10.10.1.1.
Итак, я подумал, что могу просто (это не было!) соединить eth0 и tap0 на Dolly под br0, таким образом, все сообщения, проходящие через сеть OpenVPN, будут доступны для туннеля StrongSwan. Если бы кто-нибудь в подсети OpenVPN отправлял пакеты на 10.10.2.1, они бы отображались на мостовом устройстве на Dolly и, насколько я понимаю, попадали бы в туннель из-за настроек iptables StrongSwan.
Тем не менее, этого не происходит ... Пинг - и все остальное - с любого члена vpn (например, 10.10.1.2) невозможен, он работает только с Долли (10.10.1.1). Перезапуск туннеля с уже установленным мостом проходит гладко, но ситуацию не меняет.Я попытался добавить правило маршрутизации на клиентском компьютере (10.10.1.2), говорящее использовать 10.10.1.1 в качестве шлюза для 10.10.2.0/24, но по какой-то причине оно отклоняется ("Ошибка: либо "to" дублируется, либо " gw" - это мусор").
Я заблудился. Кому-нибудь действительно удалось достичь такой конфигурации?
Заранее спасибо!
Шимон
