我有三个 Linux 实例。“远程”、“本地”、“客户端”。“远程”和“本地”之间有一个 IPSec 隧道。“客户端”通过“本地”访问网络。
我如何才能让“客户端”仅通过到“远程”机器的 IPSec 隧道访问互联网。使用静态路由还是其他方法?
答案1
据我所知,常规 IPsec 无法做到这一点,因为 IPsec 是纯第 3 层(IP),但路由需要寻址第 2 层上的下一跳(包括点对点连接),即将 IP 数据包发送到不是具有目标 IP 的系统。
如果您使用没有第 2 阶段配置的 IPsec,这样您就拥有一个行为类似于常规接口的接口,以便您可将其用于路由,那么这可能会奏效。或者,您可以在 IPsec 之上创建另一个(非加密)隧道,例如,ipip您可以使用该接口来路由到 IPsec 隧道的另一侧。