私たちの研究プロジェクトでは、別の会社にサーバー「Molly」を導入する必要がありました。その会社では、ファイアウォール/ゲートウェイへの IPSec トンネルを設定するよう求められ、そこから通信が私たちのサーバーに転送されます。ゲートウェイ マシン「Dolly」に StrongSwan を設定しましたが、これは問題なく機能しています。Dolly には、たとえば 1.1.1.1 というパブリック アドレスと、同じネットワーク カード「eth0」に接続されたサイト間トンネルに必要な仮想アドレス 10.10.1.1 があります。一方、Molly には 10.10.2.1 があります。Dolly にログオンしている間、ルーティングが StrongSwan によって明示的に設定されていないにもかかわらず (サブネット 10.10.2.1/24 がルーティング テーブルに表示されない)、このアドレスで Molly に ping を実行しても問題ありません。
私たちのチームに Molly へのアクセスを許可したいと思います。Dolly (私たちのゲートウェイ) は大きなネットワーク上にあるため、チーム メンバーが接続できる Dolly が実行する VPN を作成することを考えました。サブネット アドレスとして 10.10.1.0/24 を使用して OpenVPN を構成しました。OpenVPN は「tap0」デバイスに 10.10.1.1 を設定し、それに接続できます。また、OpenVPN クライアントのタップ インターフェイスで 10.10.1.2 を取得できます。10.10.1.1 に ping できます。
そこで、私は単純に (実際にはそうではありませんでしたが) Dolly の eth0 と tap0 を br0 の下でブリッジすれば、OpenVPN ネットワークを通過するすべてのメッセージが StrongSwan トンネルで利用できるようになると考えました。OpenVPN サブネットワーク上の誰かが 10.10.2.1 にパケットを送信すると、そのパケットは Dolly のブリッジ デバイスに表示され、私の理解では、StrongSwan の iptables 設定によりトンネルに引き込まれます。
しかし、それは起こりません... どの VPN メンバー (例: 10.10.1.2) からの ping やその他の操作も不可能で、Dolly (10.10.1.1) からのみ機能します。ブリッジがすでに配置されている状態でトンネルを再起動すると、スムーズに動作しますが、状況は変わりません。クライアント コンピューター (10.10.1.2) に、10.10.1.1 を 10.10.2.0/24 へのゲートウェイとして使用するルーティング ルールを追加しようとしましたが、何らかの理由で拒否されます (「エラー: 「to」が重複しているか、「gw」が不正です。」)。
わかりません。実際にこのような構成を実現できた人はいますか?
前もって感謝します!
シモン