înregistrare Logare
Puncte:0
avatar Server

IPSec site2site tunel + vpn

drapel vn
Szymon

În proiectul nostru de cercetare, trebuia să implementăm un server „Molly” la o altă companie. Ne-au făcut să instalăm un tunel IPSec către firewall/gateway-ul lor și de acolo, comunicațiile sunt redirecționate către serverul nostru. Am configurat StrongSwan pe mașina noastră gateway „Dolly” și funcționează destul de bine. Dolly are o adresă publică, să zicem 1.1.1.1, și o adresă virtuală 10.10.1.1, necesară pentru tunelul site2site atașat la aceeași placă de rețea „eth0”. Pe de altă parte, Molly are 10.10.2.1. În timp ce sunt conectat la Dolly, o pot ping pe Molly la această adresă fără nicio problemă, în ciuda faptului că rutarea nu este configurată în mod explicit de StrongSwan (subrețeaua 10.10.2.1/24 nu apare în tabelul de rutare)

Aș dori să ofer echipei noastre acces la Molly. Dolly (gateway-ul nostru) se află într-o rețea mare, așa că m-am gândit să creez un VPN condus de Dolly unde membrii echipei se pot conecta. Am configurat OpenVPN cu 10.10.1.0/24 ca adresă de subrețea. OpenVPN setează 10.10.1.1 pe dispozitivul său „tap0”, mă pot conecta la el și primesc 10.10.1.2 pe interfața de atingere a clientului meu OpenVPN. Pot da ping la 10.10.1.1.

Așadar, m-am gândit că pot pur și simplu (nu a fost!) să pun eth0 și tap0 pe Dolly sub br0, astfel încât toate mesajele care traversează rețeaua OpenVPN vor fi disponibile pentru tunelul StrongSwan. Dacă cineva din subrețeaua OpenVPN ar trimite pachete la 10.10.2.1, acestea ar apărea pe dispozitivul bridge de pe Dolly și, din câte am înțeles, ar fi atras în tunel din cauza setărilor iptables ale StrongSwan.

Totuși, nu se întâmplă... Ping-ul - și orice altceva - de la orice membru VPN (de exemplu, 10.10.1.2) nu este posibil, funcționează doar de la Dolly (10.10.1.1). Repornirea tunelului cu podul deja montat decurge fără probleme, dar nu schimbă situația.Am încercat să adaug o regulă de rutare pe computerul client (10.10.1.2) care spune să utilizați 10.10.1.1 ca poartă de acces la 10.10.2.0/24, dar din anumite motive o respinge („Eroare: fie „la” este duplicat, fie „ gw" este un gunoi.").

M-am pierdut. A reușit cineva să realizeze acest tip de configurație?

Mulțumesc anticipat!

Szymon

32
0 + 3
Michael Hampton avatar
drapel cz
Michael Hampton
Care a fost comanda care a dat eroarea?
0
Răspunde
drapel vn
Szymon
Deci, eroarea „mare” este că ping/ssh nu ajunge la Molly de la clienții vpn. Eroarea „mică” a apărut când am încercat să introduc o regulă de rutare pentru clienții vpn cu „ip route add 10.10.2.0/24 via 10.10.1.1 dev br0”
0
Răspunde
Michael Hampton avatar
drapel cz
Michael Hampton
BINE? Deci ce a fost?
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.