我正在尝试将我的 CentOS(CentOS 版本 6.7)服务器连接到第三方 VPN,以便通过隧道在别名私有 IP(192.168.253.1)上侦听的 Apache 实例之间路由流量。我的服务器的物理 NIC 直接连接到互联网。
我已经设置了 NIC 别名 (ifcfg-eth1:0) 并配置了 OpenSwan (Linux Openswan U2.6.32/K2.6.32-573.22.1.el6.x86_64 (netkey))。
隧道似乎正在建立,但是两侧均没有通过隧道路由数据包。
我发现的有关该主题的研究表明,我需要使用 IPTABLES POSTROUTING 规则来通过隧道路由发往其私有子网(196.34.XX/24)的流量(通过将 IP SOURCE 地址重写为别名 IP 192.168.253.1 而不是机器的默认公共 IP),但是因为这个较新版本的 OpenSwan 似乎使用“ip xfrm”,所以我尝试的 Iptables 中的 POSTROUTING 似乎被忽略了(通过使用 tcpdump 检查流量)。
我尝试设置的网络配置概述:
--- <196.25.XX(他们的网关)> < < ==== IPSEC VPN 隧道 ==== > > <41.XXX(我的网关)>
所以我的主要问题是这可以做到吗,即 IPSEC 站点到站点(别名)?别名子网在 GW 机器本身的哪里?
其次,如果可能的话,我如何让数据包通过隧道路由(我相信可以使用“ip xfrm”或我的 Openswan 配置,但从我读过的他们的文档中我看不出如何操作?
答案1
该问题是由于 OpenSWAN 配置不正确引起的,已按照本指南解决(另一个站点使用 M0n0wall):
http://spb.sdf.org/monowall_openswan.html
需要确认的是,可以将 Openswan 配置为作为私有网络,在站点到站点设置上路由到别名 NIC。