Я создал IPSec VPN между двумя «сайтами», используя виртуальные машины и Openswan для туннеля IPSec.
Моя конфигурация: я создал 3 сети только для хоста, по одной для каждого «сайта» и третью для подключения к серверам openswan (имитируя соединение через Интернет). Centos 7.
Итак, по сетям у меня: vboxnet0: 192.168.56.0/24 - сеть первого сайта vboxnet1: 192.168.57.0/24 - сеть второго сайта vboxnet2: 192.168.58.0/24 - "Интернет"
У меня есть следующие виртуальные машины: Openswan1: подключен к vboxnet0 (IP 192.168.56.106) и vboxnet2 (IP 192.168.58.3) Openswan2: подключен к vboxnet1 (IP 192.168.57.8) и vboxnet2 (IP 192.168.58.4) Server1: подключен только к vboxnet0 (IP 192.168.56.107) (это сервер на первом «сайте») Server2: подключен только к vboxnet1 (IP 192.168.57.9) (это сервер на втором «сайте»)
Я включил IPSec VPN Openswan, а затем могу пинговать server2 с server1 и server1 с server2, как и ожидалось.
Для лучшего понимания путь, созданный при попытке перейти с server1 на server2, выглядит так: server1 == (vboxnet0) ==> openswan1 == (vboxnet2, IPSec) ==> openswan2 == (vboxnet1) ==> server2
Туннель работает правильно для PING:
[root @ server1 ~] # ping 192.168.57.9 PING 192.168.57.9 (192.168.57.9) 56 (84) байтов данных. 64 байта из 192.168.57.9: icmp_seq = 16 ttl = 62 time = 1,26 мс 64 байта из 192.168.57.9: icmp_seq = 17 ttl = 62 time = 0,860 мс 64 байта из 192.168.57.9: icmp_seq = 18 ttl = 62 time = 0,980 РС
Проблема в том, что когда я пытаюсь подключиться по SSH с server1 на server2 или наоборот, я получаю ошибку «Нет маршрута к хосту».
[root @ server1 ~] # ssh root@192.168.57.9 ssh: подключиться к хосту 192.168.57.9 порт 22: нет маршрута к хосту
Tcpdump в openswan1 показывает следующие сообщения:
11: 34: 37.083444 IP 192.168.56.107.47014> 192.168.57.9.ssh: флаги [S], seq 2476842671, win 29200, параметры [mss 1460, sackOK, TS val 3436092 ecr 0, nop, wscale 7], длина 0 11: 34: 37.083506 IP openswan1.localdomain> 192.168.56.107: ICMP-хост 192.168.57.9 недоступен - администратор запрещен, длина 68 11: 34: 42.085686 ARP, Запрос у кого-есть 192.168.56.107, скажите openswan1.localdomain, длина 28 11:34 : 42.086162 ARP, ответ 192.168.56.107 is-at 08: 00: 27: 26: bc: c8 (oui Unknown), длина 46
Таким образом, PING работает под IPSec VPN Tunner, а SSH - нет.
Любые идеи о том, чего не хватает или что неправильно?