VPN на основе маршрута Libreswan

Я пытаюсь настроить туннель IPSEC между двумя виртуальными машинами (R2 R3) в той же сети, где одна из них будет работать в качестве маршрутизатора (R2), поэтому я могу отправлять данные с третьей виртуальной машины (R1) по туннелю IPSEC на R3. .

Я сделал следующую топологию:

введите здесь описание изображения

Я неправильно изменил IP-адреса, но виртуальные машины находятся в одной сети, поэтому это может быть похоже на R3: 1.2.3.4, R2: 1.2.3.5, R1: 1.2.3.6.

Конфигурация виртуальной машины R3 /etc/ipsec.d/mytunnel.conf:

config setup
    protostack=netkey

#conn mysubnet
#     also=mytunnel
#     leftsubnet=10.0.1.1/24
#     rightsubnet=10.0.0.1/24
#     auto=start

conn mytunnel
    left=4.6.7.8
    right=1.2.3.4
    authby=secret
    leftsubnet=10.0.1.1/24
    rightsubnet=10.0.0.1/24
    auto=start
    # route-based VPN requires marking and an interface
    mark=5/0xffffffff
    vti-interface=vti03
    # do not setup routing because we don't want to send 0.0.0.0/0 over the tunnel
    vti-routing=yes
    # If you run a subnet with BGP (quagga) daemons over IPsec, you can configure the VTI interface
    leftvti=10.0.7.1/24

Конфигурация R2 /etc/ipsec.d/mytunnel.conf:

config setup
    protostack=netkey

#conn mysubnet
#     also=mytunnel
#     leftsubnet=10.0.1.1/24
#     rightsubnet=10.0.0.1/24
#     auto=start

conn mytunnel
    left=4.6.7.8
    right=1.2.3.4
    authby=secret
    leftsubnet=10.0.1.1/24
    rightsubnet=10.0.0.1/24
    auto=start
    # route-based VPN requires marking and an interface
    mark=5/0xffffffff
    vti-interface=vti03
    # do not setup routing because we don't want to send 0.0.0.0/0 over the tunnel
    vti-routing=yes
    # If you run a subnet with BGP (quagga) daemons over IPsec, you can configure the VTI interface
    leftvti=10.0.7.1/24

С приведенной выше конфигурацией я могу пинговать от R2 до R3 с помощью ping -I 10.0.1.1 10.0.0.1

На машине R1 я настроил статическую маршрутизацию:

[email protected]:~# ip route
default via 9.10.11.1 dev ens18 onlink 
10.0.0.0/24 via 5.6.7.8 dev ens18 
10.0.1.0/24 via 5.6.7.8 dev ens18

Но когда я хочу пропинговать 10.0.0.1 с R1 через R2, мне выдается icmp_seq=1 Destination Host Unreachable

Что я должен изменить, чтобы R1 мог видеть R3 через интерфейс R2 dummy0, который равен 10.0.1.1?

Спасибо за любую помощь!


networking vpn ipsec libreswan
person vladpoverin    schedule 13.01.2021    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Сменил топологию и теперь пингую на R2 VTI vti03 interface 10.0.7.1/24 через R3 с небольшой разницей в .conf файлах:

leftsubnet=0.0.0.0/0
rightsubnet=0.0.0.0/0
person vladpoverin    schedule 13.01.2021