LINUX.ORG.RU
решено ФорумAdmin

IPSec и роутинг/файрволл

 ,


0

2

Hi all. Уже неделю вяло ковыряю проблему с роутингом и IPsec.

Вкратце - есть сервер RAS с кучкой разношёрстных VPN, на сервер в числе прочих поднят IPsec туннель (сети 192.168.x.0/24(в сторону сервера) и 192.168.y.0/24(в сторону клиента).

Сервер multi-homed (есть ещё отдельные интерфейсы с сетями 192.168.a.0/24, 192.168.b.0/24, 192.168.c.0/24), но физически сети 192.168.x.0/24 нет - вместо неё на интерфейс, через который идёт туннель добавлен адрес 192.168.x.20 Со стороны клиента стоит гейт с ip 192.168.y.1

Трафик отлично ходит из 192.168.y.0 до приложений на сервере, но как разрешить подключения из 192.168.a.0 в 192.168.y.0?

Попытки прописывать правила в SuSefirewall и маршруты с gw 192.168.y.1 приводят к тому, что пакеты с SRC=192.168.a.20 и DST=192.168.y.1 появляются на внешнем интерфейсе. Только вот не завёрнутые в IPsec.

Нужно, насколько я понял создавать отдельные IPsec полиси [192.168.a.1] => [192.168.y.1], но как это сделать в strongswan? Не создавать же отдельное подключение.

Второй вариант - как-то прописать маскарадинг, чтобы исходящие пакеты в сеть 192.168.y.1 получали SRC=192.168.x.20 и заворачивались в IPsec.

Есть ли штатный способ такое заставить работать или только руками iptables править?

Если я правильно понял задачу, то гуглинг по параметру

rightsubnets={192.168.x.0/24 192.168.y.0/24 192.168.z.0/24}
может тебе помочь.

BOOBLIK ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.