LINUX.ORG.RU
ФорумAdmin

туннель между 2-мя хостами через роутер

 ,


0

1

Софт strongswan. Туннель между хостом1 с паблик IP и хостом2 с приватным IP. Между ними роутер (машина с линуксом). На всех трех поднят ipsec. На роутере форвардинг между 2-мя сетевыми установлен. Хочется шифрованный туннель. Сейчас есть шифрованный туннель только между хостом1 и роутером. От роутера и до хоста2 трафик не шифруется.

На роутере:

conn test
    left=111.222.111.200
    leftsubnet=10.10.10.10/32
    right=111.222.111.222
    leftfirewall=yes
    type=tunnel
    authby=secret
    auto=start
На хост1:
conn test
    left=111.222.111.222
    right=111.222.111.200
    rightsubnet=10.10.10.10/32
    leftfirewall=yes
    type=tunnel
    authby=secret
    auto=start
На хост2 (для шифрованного трафика между хостом1 и роутером в принципе не нужно ipsec на хост2. это вариации на тему ):
conn test
    left=10.10.10.10
    right=10.10.10.1
    rightsubnet=111.222.111.222/32
    leftfirewall=yes
    authby=secret
    type=tunnel
    auto=start

А спросить-то чего хотели?

anc ★★★★★ ()
Ответ на: комментарий от anc

Ну очевидно же, шифрованный туннель от хоста1 до хоста2. Чего не получается. Шифруется только от хоста1 до роутера. Дальше трафик идет не шифрованным.

Wien_Lynx ()
Ответ на: комментарий от Wien_Lynx

Ну так настройте, в чем проблема? Я именно вопроса и не увидел, если вы смогли настроить один тунель, то что мешает его так же настроить и на другой машине?

anc ★★★★★ ()
Ответ на: комментарий от anc

Рецепт мне сообщите и я настрою его «и на другой машине». В той конфигурации, что я привел, шифрованный туннель устанавливается только между хост1 и роутер. Далее трафик просто форвардится в приватную сеть открытым текстом. А нужен туннель от хоста1 (с паблик IP) и до хоста2 (с приватным IP).

Wien_Lynx ()
Ответ на: комментарий от Wien_Lynx

Если вы хотите два тунеля, то нужно 4 конфига, а не три. И там уж решайте, что вы хотите, тунель между хостами или тунель между хост1 и маршрутизатор и тунель между хост2 и маршрутизатор.

Если хосты напрямую не могут видеть друг-друга, то есть ipsec nat traversal. Или вы хотите, чтобы хост1 поднимал тунель до хост2 внутри тунеля до маршрутизатора?

mky ★★★★★ ()
Ответ на: комментарий от Wien_Lynx

Ну так и настройте как вам нужно, я все еще не понимаю что именно у вас не работает в схеме хост1-хост2. Конкретные проблемы опишите.

anc ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.