我已经在 Ubuntu 上成功创建了两个节点之间的 ipsec 隧道,并且可以成功 ping 其他网络中的节点。我的问题是如何向另一个节点(不是 vpn 节点)添加路由,以便它可以通过 vpn 将特定 ip 上的流量发送到外部专用网络。这可能吗?还是我必须将所有流量发送到 VPN 节点?
这是创建的:
SiteA---------------SiteB
10.2.0.1 <==inet==> 10.3.0.1
从站点 A 中的节点,我可以 ping 站点 B 和站点 B 网络中的节点。
问题
Node A.1------ SiteA---------------SiteB
10.2.0.10 <=Lan=>10.2.0.1 <==inet==> 10.3.0.1 <==LAN ==> 10.3.0.2
我无法从节点 A.1 ping 站点 B 或站点 B 中的节点,尽管从站点 B 可以 ping 节点 A.1
我尝试向 A.1 添加静态路由,ip route add 10.3.0.2/32 via 10.2.0.1 dev eth1
但我收到错误 RTNETLINK 答案:网络无法访问
是否可以通过 IPsec 隧道路由特定 IP 的流量?
答案1
您不能只添加一条额外的路由。IPsec 策略也必须匹配。也就是说,它们必须包含您想要访问的所有主机地址/子网。
left|rightsubnet您可以使用来控制这些所谓的流量选择器ipsec配置文件或local|remote_tsswanctl.conf。