Túnel IPSec sitio2sitio + vpn

Túnel IPSec sitio2sitio + vpn

En nuestro proyecto de investigación, necesitábamos implementar un servidor "Molly" en otra empresa. Nos hicieron configurar un túnel IPSec hacia su firewall/puerta de enlace y desde allí, las comunicaciones se reenvían a nuestro servidor. Configuré StrongSwan en nuestra máquina de puerta de enlace "Dolly" y esto funciona bastante bien. Dolly tiene una dirección pública, digamos 1.1.1.1, y una dirección virtual 10.10.1.1, necesaria para el túnel sitio2sitio conectado a la misma tarjeta de red "eth0". Por otro lado, Molly tiene 10.10.2.1. Mientras estoy conectado a Dolly, puedo hacer ping a Molly en esta dirección sin ningún problema, a pesar de que StrongSwan no configura explícitamente el enrutamiento (la subred 10.10.2.1/24 no aparece en la tabla de enrutamiento)

Me gustaría darle a nuestro equipo acceso a Molly. Dolly (nuestra puerta de enlace) está en una red grande, así que pensé en crear una VPN administrada por Dolly donde los miembros del equipo puedan conectarse. Configuré OpenVPN con 10.10.1.0/24 como dirección de subred. OpenVPN configura 10.10.1.1 en su dispositivo "tap0", puedo conectarme a él y obtengo 10.10.1.2 en la interfaz tap de mi cliente OpenVPN. Puedo hacer ping a 10.10.1.1.

Entonces, pensé que podía simplemente (¡no lo fue!) unir eth0 y tap0 en Dolly bajo br0, así todos los mensajes que atraviesen la red OpenVPN estarían disponibles para el túnel StrongSwan. Si alguien en la subred OpenVPN enviara paquetes a 10.10.2.1, aparecerían en el dispositivo puente en Dolly y, según tengo entendido, serían arrastrados al túnel debido a la configuración de iptables de StrongSwan.

Sin embargo, no sucede... Hacer ping, y cualquier otra cosa, desde cualquier miembro de VPN (por ejemplo, 10.10.1.2) no es posible, solo funciona desde Dolly (10.10.1.1). Reiniciar el túnel con el puente ya colocado se realiza sin problemas, pero no cambia la situación. Intenté agregar una regla de enrutamiento en la computadora cliente (10.10.1.2) que indicaba usar 10.10.1.1 como puerta de enlace a 10.10.2.0/24 pero por alguna razón la rechaza ("Error: "a" está duplicado o " gw" es una basura").

Estoy perdido. ¿Alguien realmente ha logrado lograr este tipo de configuración?

¡Gracias de antemano!

Szymon

información relacionada