0

次のような状況があります。2 つのホストが、Strongswan IpSec を使用してインターネット経由で 2 つのサブネットに接続します

  • ホスト 1 はサブネット 10.13.0.0/24 のルーター
  • ホスト 2 は、サブネットのない専用の Ubuntu サーバーをレンタルします (ifconfig によると、サブマスクは Mask:255.255.255.255 です)。
  • ホスト 2 は、OpenVpn を使用して別のサブネットもホストします。そのサブネットは 192.168.23.0/24 です
  • ホスト 2 は、そのサブネットの IP として 192.168.23.1 を持っています。

ping -I 192.168.23.1 10.23.23.23 を実行すると、他のサーバーに到達できます。ping 10.23.23.23 を実行しても機能しません。192.168.0./24 ネットワーク内の他のすべてのクライアントでは、ping は機能します。

機能させるには、どのルーティング エントリを追加する必要がありますか? ホスト自体が反対側のクライアントに到達できないためです。

詳細情報: host2 には 2 つのインターフェースがあります: eth0 と tun0 (openvpn 用)

host2 の ipconfig は次のようになります。

charonstart=yes
plutostart=yes
left=host2externalIp
leftsubnet=192.168.23.0/24
leftnexthop=host2router
right=remoteIp
rightsubnet=10.13.0.0/24

ここで答えを見つけました:http://www.freeswan.org/freeswan_trees/freeswan-1.99/doc/adv_config.html#multitunnel

いくつかの追加構成で可能です。残念ながら、私は反対側の構成を制御していないため、うまくいきませんでした。

4

2 に答える 2

1

host2 から ping を実行すると、ping は (eth0 からの) パブリック IP アドレスをソースとして使用するため、ping は実行されません。

IPSec のカーネル ルールによると、192.168.23.0/24 => 10.13.0.0/24 からのトラフィックのみがそのトンネルを通過します。

機能させるには、次のような NAT を追加する必要があります。

iptables -t nat -A POSTROUTING ! -s 192.168.23.0/24 -d 10.13.0.0/24 -j SNAT --to-source 192.168.23.1
于 2013-01-26T22:44:52.973 に答える