IPSEC VPN 站点到“别名”

我正在尝试将我的 CentOS（CentOS 版本 6.7）服务器连接到第三方 VPN，以便通过隧道在别名私有 IP（192.168.253.1）上侦听的 Apache 实例之间路由流量。我的服务器的物理 NIC 直接连接到互联网。

我已经设置了 NIC 别名 (ifcfg-eth1:0) 并配置了 OpenSwan (Linux Openswan U2.6.32/K2.6.32-573.22.1.el6.x86_64 (netkey))。

隧道似乎正在建立，但是两侧均没有通过隧道路由数据包。

我发现的有关该主题的研究表明，我需要使用 IPTABLES POSTROUTING 规则来通过隧道路由发往其私有子网（196.34.XX/24）的流量（通过将 IP SOURCE 地址重写为别名 IP 192.168.253.1 而不是机器的默认公共 IP），但是因为这个较新版本的 OpenSwan 似乎使用“ip xfrm”，所以我尝试的 Iptables 中的 POSTROUTING 似乎被忽略了（通过使用 tcpdump 检查流量）。

我尝试设置的网络配置概述：

--- <196.25.XX（他们的网关）> < < ==== IPSEC VPN 隧道 ==== > > <41.XXX（我的网关）>

所以我的主要问题是这可以做到吗，即 IPSEC 站点到站点（别名）？别名子网在 GW 机器本身的哪里？

其次，如果可能的话，我如何让数据包通过隧道路由（我相信可以使用“ip xfrm”或我的 Openswan 配置，但从我读过的他们的文档中我看不出如何操作？