Недавно я развернул VPN удаленного доступа Strongswan IKEv2 на двух разных сайтах с двумя разными серверами Ubuntu. Все это прекрасно работает, но теперь я хочу «объединить» два сайта с помощью VPN типа «сеть-сеть», чтобы я мог оставить только одну VPN с удаленным доступом и получить доступ к обеим подсетям.
Вопрос в том, как это сделать?
Моя идея заключалась в создании туннеля IPSec с использованием strongswan между двумя сайтами и статической маршрутизацией на маршрутизаторах обоих сайтов для управления трафиком.
Сайты настроены следующим образом:
А)
Только один общедоступный IP-адрес: x.x.x.x
Подсеть: 10.5.5.0/24
Б)
Один используемый общедоступный IP-адрес: x.x.x.x
Подсеть: 192.168.5.0/24
Вопросы:
- Могу ли я запустить две службы (удаленный доступ IKEv2 и туннель IPSec) на одном и том же экземпляре strongswan? Мой ответ на это будет НЕТ, и если это так, я готов добавить новый экземпляр strongswan, используя еще два сервера Ubuntu в качестве шлюза.
- Но если я использую два разных сервера на сайтах, возникает другая проблема, сайты имеют только один общедоступный IP-адрес, как мне устранить конфликт IPSec и IKEv2, поскольку оба должны использовать одни и те же порты? Могу ли я изменить порты, используемые туннелем IPSec? Или, может быть, мне не нужна переадресация портов для туннеля IPSec?
Это моя ссылка на туннель IPSec.
https://www.tecmint.com/setup-ipsec-vpn-with-strongswan-on-debian-ubuntu/
Любые идеи о том, как заставить этот беспорядок работать?
Мне ВСЕГДА нужны два разных IP-адреса для запуска двух серверов vpn?
Может ли OpenSource DMVPN помочь?
Заранее спасибо.
