我对这个问题束手无策。
我有一个只有 1 个私有互联网接口 (ens18) 的 stongswan VM。我可以成功连接到它并获取虚拟 IP,但我的问题是 strongswan VM 之外的网络看到 roadwarrior 用户的流量来自 strongswan VM,而不是直接来自 roadwarrior 的虚拟 IP 地址。我希望能够控制用户对硬件/路由器的访问,因此我需要流量来自虚拟 IP。以下是通过图表进行的更好的解释:
以下是我的配置:
路由表:
[root@moon ~]# ip route list
default via 172.16.18.1 dev ens18 proto static metric 100
172.16.18.1/28 dev ens18 proto kernel scope link src 172.16.18.2 metric 100
我的 ipsec.conf 文件:
[root@moon strongswan]# cat /etc/strongswan/ipsec.conf
#charondebug="all"
conn myConfig
keyexchange=ikev2
ike=aes256-sha384-modp4096!
esp=aes256gcm16-ecp384!
dpdaction=clear
dpddelay=60s
left=%any
leftid=moon.mydomain.com
leftsubnet=172.16.18.1/24,172.16.202.1/24
leftcert=moon.der
leftsendcert=always
right=%any
rightauth=eap-tls
rightdns=172.16.16.1
eap_identity=%identity
auto=route
conn rw_HERBERT
[email protected]
rightsourceip=172.16.18.3/32
also=myConfig
我的接口配置文件:
[root@moon strongswan]# cat /etc/sysconfig/network-scripts/ifcfg-ens18
TYPE="Ethernet"
PROXY_METHOD="none"
BROWSER_ONLY="no"
BOOTPROTO="none"
DEFROUTE="yes"
IPV4_FAILURE_FATAL="no"
IPV6INIT="yes"
IPV6_AUTOCONF="yes"
IPV6_DEFROUTE="yes"
IPV6_FAILURE_FATAL="no"
IPV6_ADDR_GEN_MODE="stable-privacy"
NAME="ens18"
UUID="aaaaaaaa-cccccccccc-dddddddddd-1111111"
DEVICE="ens18"
ONBOOT="yes"
IPADDR="172.16.18.2"
PREFIX="24"
GATEWAY="172.16.18.1"
DNS1="172.16.16.1"
DNS2="172.16.16.2"
DOMAIN="mydomain.com"
IPV6_PRIVACY="no"
ZONE=dmz
非常感谢您的帮助,并真诚地感谢您的时间。
答案1
如果你想让你的 roadwarrrior 成为远程 LAN 的一部分,你必须使用以下方式伪造虚拟 IP 的 ARP 响应:法普插入。