在我們的研究專案中,我們需要在另一家公司部署伺服器「Molly」。他們讓我們建立一個通往他們的防火牆/網關的 IPSec 隧道,然後從那裡將通訊轉發到我們的伺服器。我在我們的網關機器“Dolly”上配置了 StrongSwan,效果非常好。 Dolly 有一個公共位址(例如 1.1.1.1)和一個虛擬位址 10.10.1.1,這是附加到同一網卡「eth0」的 site2site 隧道所需的。另一方面,Molly 有 10.10.2.1。當我登入 Dolly 時,我可以在這個位址 ping Molly 沒有任何問題,儘管 StrongSwan 沒有明確設定路由(子網路 10.10.2.1/24 沒有出現在路由表中)
我想讓我們的團隊接觸到莫莉。 Dolly(我們的網關)位於一個大網路上,因此我想創建一個由 Dolly 運行的 VPN,團隊成員可以在其中進行連接。我將 OpenVPN 配置為 10.10.1.0/24 作為子網路位址。 OpenVPN 在其「tap0」裝置上設定 10.10.1.1,我可以連接到它,並且在 OpenVPN 用戶端的 Tap 介面上獲得 10.10.1.2。我可以 ping 通 10.10.1.1。
因此,我認為我可以簡單地(事實並非如此!)在 br0 下橋接 Dolly 上的 eth0 和 tap0,這樣所有穿越 OpenVPN 網路的訊息都將可用於 StrongSwan 隧道。如果 OpenVPN 子網路上的任何人將資料包發送到 10.10.2.1,它們將顯示在 Dolly 上的橋接設備上,並且據我所知,由於 StrongSwan 的 iptables 設置,它們將被拉入隧道。
然而,這並沒有發生...從任何VPN成員(例如10.10.1.2)進行Pinging - 以及其他任何事情都是不可能的,它只能在Dolly(10.10.1.1)上工作。在橋樑已經就位的情況下重新啟動隧道進展順利,但並沒有改變情況。我嘗試在客戶端電腦(10.10.1.2) 上新增一條路由規則,表示使用10.10.1.1 作為通往10.10.2.0/24 的網關,但由於某種原因它拒絕它(「錯誤:「to」是重複的,或「 gw」是一個垃圾。
我迷路了。有沒有人真正設法實現這種配置?
先致謝!
西蒙