내 실제 컴퓨터는 인터넷에 액세스할 수 있는 VPS에 IPsec 터널(Strongswan 포함)을 설정할 수 있으므로 내 실제 컴퓨터의 인터넷 트래픽이 내 VPS를 통과합니다.
또한 실제 컴퓨터에서 실행되는 VM에 Strongswan을 설정하려고 시도했고 성공했습니다. 예상대로 내 VM은 내 VPS를 통해 인터넷에 액세스할 수 있습니다.
제가 하고 싶은 것은 Strongswan을 물리적 컴퓨터에서 실행하여 모든 VM(192.168.122.0/24)의 트래픽이 VPS를 통과하도록 하는 것입니다. 나는 이것이 사이트 간 구성으로 가능해야 한다고 생각합니다(여기 예:https://www.strongswan.org/testing/testresults/ikev2/net2net-cert/) 그러나 나는 그것을 작동시킬 수 없었습니다. 내 문제가 Strongswan 구성에 있는지, VM 네트워킹 구성에 있는지, 아니면 둘 다에 있는지 잘 모르겠습니다.
내 실제 컴퓨터의 ipsec.conf:
config setup
charondebug="ike 2, cfg 2"
conn kvm-test
rightsubnet=0.0.0.0/0
keyexchange=ikev2
ike=aes256gcm128-sha512-modp8192!
esp=aes256gcm128-sha512-modp8192!
leftcert=client.pem
auto=add
right=123.123.123.123 # not my VPS's actual IP
rightcert=vpn_server.pem
leftsubnet=192.168.122.0/24
left=192.168.1.2
내 VPS의 ipsec.conf:
config setup
# strictcrlpolicy=yes
# uniqueids = no
conn %default
keyexchange=ikev2
leftfirewall=yes
auto=add
leftsubnet=0.0.0.0/0
left=123.123.123.123 # not my VPS's actual IP
ike=aes256gcm128-sha512-modp8192!
esp=aes256gcm128-sha512-modp8192!
conn kvm-test
leftcert=vpn_server.pem
rightcert=client.pem
rightsubnet=192.168.122.0/24
이 구성을 사용하면 연결이 성공적으로 설정되었지만 내 VM의 트래픽이 이를 통과하지 못합니다. ip route show table 220위에 링크된 예제와 달리 아무 것도 표시되지 않으며 거기에 무엇을 넣어야 할지 잘 모르겠습니다... 작동 ip route add table 220 default via 123.123.123.123 proto static하지 않습니다. 이견있는 사람?
답변1
가상화 솔루션이 192.168.122.0/24에서 호스트의 물리적 IP(192.168.1.2)로 트래픽을 NAT하는 경우 이를 방지하고 IPsec 정책과 일치하는 트래픽을 허용하는 규칙을 추가해야 합니다. 예를 들어 (자세한 내용은):
iptables -t nat -I POSTROUTING -s 192.168.122.0/24 -o eth0 -m policy --dir out --pol ipsec -j ACCEPT