Tham gia Đăng nhập
Điểm:0
avatar Server

Đường hầm IPSec site2site + vpn

lá cờ vn
Szymon

Trong dự án nghiên cứu của chúng tôi, chúng tôi cần triển khai một máy chủ "Molly" tại một công ty khác. Họ yêu cầu chúng tôi thiết lập một đường hầm IPSec tới tường lửa/cổng của họ và từ đó, các liên lạc được chuyển tiếp đến máy chủ của chúng tôi. Tôi đã định cấu hình StrongSwan trên máy cổng "Dolly" của chúng tôi và điều này hoạt động khá ổn. Dolly có một địa chỉ công khai, giả sử là 1.1.1.1 và một địa chỉ ảo 10.10.1.1, cần thiết cho đường hầm site2site được gắn vào cùng một thẻ mạng "eth0". Mặt khác, Molly có 10.10.2.1. Trong khi đăng nhập vào Dolly, tôi có thể ping Molly tại địa chỉ này mà không gặp vấn đề gì, mặc dù thực tế là định tuyến không được StrongSwan thiết lập rõ ràng (mạng con 10.10.2.1/24 không xuất hiện trong bảng định tuyến)

Tôi muốn cấp cho nhóm của chúng tôi quyền truy cập vào Molly. Dolly (cổng của chúng tôi) nằm trên một mạng lớn, vì vậy tôi đã nghĩ đến việc tạo một vpn do Dolly điều hành để các thành viên trong nhóm có thể kết nối. Tôi đã định cấu hình OpenVPN với 10.10.1.0/24 làm địa chỉ mạng con. OpenVPN đặt 10.10.1.1 trên thiết bị "tap0" của nó, tôi có thể kết nối với nó và tôi nhận được 10.10.1.2 trên giao diện nhấn của ứng dụng khách OpenVPN của mình. Tôi có thể ping 10.10.1.1.

Vì vậy, tôi nghĩ rằng tôi có thể đơn giản (không phải vậy!) kết nối eth0 và tap0 trên Dolly dưới br0, do đó, tất cả các tin nhắn đi qua mạng OpenVPN sẽ được cung cấp cho đường hầm StrongSwan. Nếu bất kỳ ai trên mạng con OpenVPN gửi các gói đến 10.10.2.1, chúng sẽ hiển thị trên thiết bị cầu trên Dolly và, theo hiểu biết tốt nhất của tôi, sẽ bị kéo vào đường hầm do cài đặt iptables của StrongSwan.

Tuy nhiên, điều đó không xảy ra... Ping - và bất kỳ điều gì khác - từ bất kỳ thành viên VPN nào (ví dụ: 10.10.1.2) là không thể, nó chỉ hoạt động từ Dolly (10.10.1.1). Khởi động lại đường hầm với cây cầu đã có sẵn diễn ra suôn sẻ nhưng không thay đổi được tình hình.Tôi đã thử thêm quy tắc định tuyến trên máy khách (10.10.1.2) nói rằng sử dụng 10.10.1.1 làm cổng vào 10.10.2.0/24 nhưng vì lý do nào đó, quy tắc này từ chối ("Lỗi: "đến" bị trùng lặp hoặc " gw" là rác.").

Tôi bị lạc. Có ai thực sự quản lý để đạt được loại cấu hình này không?

Cảm ơn trước!

Szymon

32
0 + 3
Michael Hampton avatar
lá cờ cz
Michael Hampton
Lệnh đã đưa ra lỗi là gì?
0
Hồi đáp
lá cờ vn
Szymon
Vì vậy, lỗi "lớn" là ping / ssh không đến được Molly từ các máy khách vpn. Lỗi "nhỏ" xuất hiện khi tôi cố gắng giới thiệu quy tắc định tuyến cho máy khách vpn với "ip route add 10.10.2.0/24 via 10.10.1.1 dev br0"
0
Hồi đáp
Michael Hampton avatar
lá cờ cz
Michael Hampton
VÂNG? Vậy nó là gì?
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.