在我们的研究项目中,我们需要在另一家公司部署服务器“Molly”。他们让我们设置一个到他们的防火墙/网关的 IPSec 隧道,然后从那里将通信转发到我们的服务器。我在我们的网关机器“Dolly”上配置了 StrongSwan,这工作得很好。Dolly 有一个公共地址,比如 1.1.1.1,以及一个虚拟地址 10.10.1.1,这是连接到同一网卡“eth0”的 site2site 隧道所需的。另一方面,Molly 有 10.10.2.1。当我登录到 Dolly 时,我可以毫无问题地在这个地址 ping Molly,尽管 StrongSwan 没有明确设置路由(子网 10.10.2.1/24 未出现在路由表中)
我想让我们的团队访问 Molly。Dolly(我们的网关)位于一个大型网络上,因此我想创建一个由 Dolly 运行的 VPN,团队成员可以连接到该 VPN。我配置了 OpenVPN,子网地址为 10.10.1.0/24。OpenVPN 在其“tap0”设备上设置了 10.10.1.1,我可以连接到它,并且我在 OpenVPN 客户端的 tap 接口上获得了 10.10.1.2。我可以 ping 10.10.1.1。
因此,我认为我可以简单地(但事实并非如此!)在 br0 下桥接 Dolly 上的 eth0 和 tap0,这样所有穿越 OpenVPN 网络的消息都可以用于 StrongSwan 隧道。如果 OpenVPN 子网络上的任何人向 10.10.2.1 发送数据包,它们就会出现在 Dolly 上的桥接设备上,并且据我所知,由于 StrongSwan 的 iptables 设置,它们会被拉入隧道。
然而,它并没有发生……无法从任何 vpn 成员(例如 10.10.1.2)执行 ping 操作和其他任何操作,只能从 Dolly(10.10.1.1)执行。在桥接已经就位的情况下重新启动隧道很顺利,但情况并没有改变。我尝试在客户端计算机(10.10.1.2)上添加路由规则,表示使用 10.10.1.1 作为 10.10.2.0/24 的网关,但出于某种原因,它拒绝了它(“错误:要么“to”重复,要么“gw”是垃圾。”)。
我迷茫了。有人真的能实现这种配置吗?
提前致谢!
西蒙