IPSec site2site туннель + vpn

tag-icon tag-icon routing openvpn ipsec site-to-site-vpn strongswan
IPSec site2site туннель + vpn

В нашем исследовательском проекте нам нужно было развернуть сервер "Molly" в другой компании. Они заставили нас настроить туннель IPSec к их брандмауэру/шлюзу, и оттуда сообщения перенаправляются на наш сервер. Я настроил StrongSwan на нашем шлюзе "Dolly", и это работает довольно хорошо. У Dolly есть публичный адрес, скажем, 1.1.1.1, и виртуальный адрес 10.10.1.1, необходимый для туннеля site2site, подключенного к той же сетевой карте "eth0". С другой стороны, у Molly есть 10.10.2.1. Пока я вошел в Dolly, я могу пинговать Molly по этому адресу без каких-либо проблем, несмотря на то, что маршрутизация явно не настроена StrongSwan (подсеть 10.10.2.1/24 не отображается в таблице маршрутизации)

Я хотел бы предоставить нашей команде доступ к Molly. Dolly (наш шлюз) находится в большой сети, поэтому я подумал о создании vpn, запущенной Dolly, к которой члены команды могут подключаться. Я настроил OpenVPN с 10.10.1.0/24 в качестве адреса подсети. OpenVPN устанавливает 10.10.1.1 на своем устройстве «tap0», я могу подключиться к нему, и я получаю 10.10.1.2 на интерфейсе tap моего клиента OpenVPN. Я могу пинговать 10.10.1.1.

Итак, я подумал, что я могу просто (но это не так!) соединить мостом eth0 и tap0 на Dolly под br0, таким образом, все сообщения, проходящие через сеть OpenVPN, будут доступны для туннеля StrongSwan. Если кто-либо в подсети OpenVPN отправит пакеты на 10.10.2.1, они появятся на устройстве-мосте на Dolly и, насколько я понимаю, будут втянуты в туннель из-за настроек iptables StrongSwan.

Но этого не происходит... Пингование и все остальное с любого участника vpn (например, 10.10.1.2) невозможно, это работает только с Dolly (10.10.1.1). Перезапуск туннеля с уже установленным мостом проходит гладко, но не меняет ситуацию. Я попытался добавить правило маршрутизации на клиентском компьютере (10.10.1.2), говорящее использовать 10.10.1.1 в качестве шлюза к 10.10.2.0/24, но по какой-то причине он его отклоняет («Ошибка: либо «to» дублируется, либо «gw» — мусор»).

Я запутался. Кто-нибудь вообще смог добиться такой конфигурации?

Заранее спасибо!

Шимон

Связанный контент