AOA, у меня есть два клиента, один удаленный, а другой локальный, но оба находятся в одной локальной сети, то есть (192.168.137.0/24), в то время как серверы UBuntu, на которых реализован strongswan, соединены друг с другом кабелем Ethernet, имеющим адреса портов 10.10.3.10 и 10.10.3.11 соответственно, при этом они подключены к устройствам с адресами портов 192.168.137.10 и 11 соответственно.
Но когда туннель установлен, устройства пингуют друг друга, но подсети не могут.
Мне нужно добавить несколько маршрутов. Конфигурация:
Клиент1(192.168.137.19)-----(192.168.137.10)Устройство1(10.10.3.10)=====(10.10.3.11)Устройство2(192.168.137.11)-------Клиент2(192.168.137.20)
ipsec.conf Устройство1
'config setup
charondebug="all"
uniqueids=yes
strictcrlpolicy=no
conn %default
conn TUFAAN
type=tunnel
auto=start
keyexchange=ikev2
authby=secret
left=10.10.3.10
leftsubnet=192.168.137.0/24
right=10.10.3.11
rightsubnet=192.168.137.0/24
ike=aes256-sha1-modp1024!
esp=aes256-sha1!
aggressive=no
keyingtries=%forever
ikelifetime=28800s
lifetime=3600s
dpddelay=30s
dpdtimeout=120s
dpdaction=restart'
ipsec.conf Устройство2
'config setup
charondebug="all"
uniqueids=yes
strictcrlpolicy=no
conn %default
conn TUFAAN
type=tunnel
auto=start
keyexchange=ikev2
authby=secret
left=10.10.3.11
leftsubnet=192.168.137.0/24
right=10.10.3.10
rightsubnet=192.168.137.0/24
ike=aes256-sha1-modp1024!
esp=aes256-sha1!
aggressive=no
keyingtries=%forever
ikelifetime=28800s
lifetime=3600s
dpddelay=30s
dpdtimeout=120s
dpdaction=restart'
решение1
Твойлевыеподсетии вашправаподсетиодна и та же подсеть; как пакет должен знать, куда идти? Когда устройство в одной подсети (в данном случае неважно, в какой) пытается выполнить ping 192.168.137.8, почему оно должно проходить через VPN, чтобы сделать это, а не оставаться в своем собственном домене коллизий?
Между тем, фактические IP-адреса VPN-серверов Strongswan гораздо менее запутанны: они оба являются членами одного домена коллизий и имеют уникальные IP-адреса в пределах этого домена, то есть 10.10.3.10 и 11.