우리 연구 프로젝트에서 우리는 다른 회사에 서버 "Molly"를 배포해야 했습니다. 그들은 우리에게 방화벽/게이트웨이에 대한 IPSec 터널을 설정하도록 했고 거기에서 통신이 우리 서버로 전달됩니다. 게이트웨이 머신 "Dolly"에 StrongSwan을 구성했는데 꽤 괜찮게 작동합니다. Dolly에는 동일한 네트워크 카드 "eth0"에 연결된 site2site 터널에 필요한 공개 주소 1.1.1.1과 가상 주소 10.10.1.1이 있습니다. 반면에 Molly에는 10.10.2.1이 있습니다. Dolly에 로그인되어 있는 동안 라우팅이 StrongSwan에 의해 명시적으로 설정되지 않았음에도 불구하고 문제 없이 이 주소에서 Molly를 ping할 수 있습니다(서브넷 10.10.2.1/24는 라우팅 테이블에 표시되지 않음).
우리 팀에 Molly에 대한 액세스 권한을 부여하고 싶습니다. Dolly(저희 게이트웨이)는 대규모 네트워크에 있으므로 팀 구성원이 연결할 수 있는 Dolly에서 운영하는 VPN을 만드는 것을 고려했습니다. 서브넷 주소로 10.10.1.0/24를 사용하여 OpenVPN을 구성했습니다. OpenVPN은 "tap0" 장치에 10.10.1.1을 설정하고 이에 연결할 수 있으며 OpenVPN 클라이언트의 탭 인터페이스에 10.10.1.2가 표시됩니다. 10.10.1.1에 ping을 보낼 수 있습니다.
그래서 저는 간단히 (그렇지 않았습니다!) Dolly의 br0 아래에서 eth0과 tap0을 연결하면 OpenVPN 네트워크를 통과하는 모든 메시지를 StrongSwan 터널에서 사용할 수 있을 것이라고 생각했습니다. OpenVPN 하위 네트워크의 누군가가 10.10.2.1로 패킷을 보내면 Dolly의 브리지 장치에 표시되고 StrongSwan의 iptables 설정으로 인해 터널로 당겨지게 됩니다.
그러나 그런 일은 일어나지 않습니다... 모든 VPN 구성원(예: 10.10.1.2)에서 핑을 보내는 것은 불가능하며 Dolly(10.10.1.1)에서만 작동합니다. 다리가 이미 설치된 상태에서 터널을 다시 시작하는 것은 원활하게 진행되지만 상황이 바뀌지는 않습니다. 10.10.1.1을 10.10.2.0/24에 대한 게이트웨이로 사용하라는 라우팅 규칙을 클라이언트 컴퓨터(10.10.1.2)에 추가하려고 시도했지만 어떤 이유로 거부됩니다("오류: "to"가 중복되거나 " gw"는 쓰레기입니다.").
나는 길을 잃었다. 실제로 이런 종류의 구성을 달성한 사람이 있습니까?
미리 감사드립니다!
시몬