Em nosso projeto de pesquisa, precisávamos implantar um servidor “Molly” em outra empresa. Eles nos fizeram configurar um túnel IPSec para seu firewall/gateway e, a partir daí, as comunicações são encaminhadas para nosso servidor. Configurei o StrongSwan em nossa máquina gateway "Dolly" e funciona muito bem. Dolly tem um endereço público, digamos 1.1.1.1, e um endereço virtual 10.10.1.1, necessário para o túnel site2site conectado à mesma placa de rede "eth0". Por outro lado, Molly tem 10.10.2.1. Enquanto estou conectado ao Dolly, posso executar ping em Molly neste endereço sem nenhum problema, apesar do roteamento não ter sido configurado explicitamente pelo StrongSwan (a sub-rede 10.10.2.1/24 não aparece na tabela de roteamento)
Gostaria de dar à nossa equipe acesso a Molly. Dolly (nosso gateway) está em uma grande rede, então pensei em criar uma VPN executada por Dolly onde os membros da equipe pudessem se conectar. Configurei o OpenVPN com 10.10.1.0/24 como endereço de sub-rede. O OpenVPN define 10.10.1.1 em seu dispositivo "tap0", posso me conectar a ele e obtenho 10.10.1.2 na interface tap do meu cliente OpenVPN. Posso executar ping em 10.10.1.1.
Então, pensei que poderia simplesmente (não era!) fazer a ponte entre eth0 e tap0 no Dolly em br0, assim todas as mensagens que atravessam a rede OpenVPN seriam disponibilizadas para o túnel StrongSwan. Se alguém na sub-rede OpenVPN enviasse pacotes para 10.10.2.1, eles apareceriam no dispositivo bridge no Dolly e, pelo que entendi, seriam puxados para dentro do túnel devido às configurações de iptables do StrongSwan.
No entanto, isso não acontece... Ping - e qualquer outra coisa - de qualquer membro VPN (por exemplo, 10.10.1.2) não é possível, só funciona no Dolly (10.10.1.1). O reinício do túnel com a ponte já instalada ocorre sem problemas, mas não altera a situação. Tentei adicionar uma regra de roteamento no computador cliente (10.10.1.2) dizendo para usar 10.10.1.1 como gateway para 10.10.2.0/24, mas por algum motivo ela a rejeita ("Erro: "to" está duplicado ou " gw" é um lixo.").
Estou perdido. Alguém realmente conseguiu esse tipo de configuração?
Desde já, obrigado!
Szymon