Назад | Перейти на главную страницу

Strongswan Routing Roadwarrior с IP-адресом виртуальной машины вместо виртуального IP-адреса

Я на грани своего остроумия с этой проблемой.

У меня есть виртуальная машина stongswan только с 1 частным интернет-интерфейсом (ens18). Я могу успешно подключиться к нему и получить виртуальный IP-адрес, но моя проблема заключается в том, что сеть за пределами виртуальной машины strongswan видит трафик пользователя roadwarrior, исходящий из виртуальной машины strongswan, а не напрямую с виртуального IP-адреса roadwarrior. Я хотел бы иметь возможность контролировать доступ пользователя к оборудованию / маршрутизатору, поэтому мне нужно, чтобы трафик исходил с виртуального IP-адреса. Вот лучшее объяснение с помощью диаграммы:

диаграмма проблемы маршрутизации vpn

Ниже представлены мои конфигурации:

Таблица маршрутизации:

[root@moon ~]# ip route list
default via 172.16.18.1 dev ens18 proto static metric 100 
172.16.18.1/28 dev ens18 proto kernel scope link src 172.16.18.2 metric 100

Мой файл ipsec.conf:

[root@moon strongswan]# cat /etc/strongswan/ipsec.conf
#charondebug="all"

conn myConfig
keyexchange=ikev2
ike=aes256-sha384-modp4096!
esp=aes256gcm16-ecp384!
dpdaction=clear
dpddelay=60s
left=%any
leftid=moon.mydomain.com
leftsubnet=172.16.18.1/24,172.16.202.1/24
leftcert=moon.der
leftsendcert=always
right=%any
rightauth=eap-tls
rightdns=172.16.16.1
eap_identity=%identity
auto=route

conn rw_HERBERT
rightid=herbert@mydomain.com
rightsourceip=172.16.18.3/32
also=myConfig

Мой файл конфигурации интерфейса:

[root@moon strongswan]# cat /etc/sysconfig/network-scripts/ifcfg-ens18
TYPE="Ethernet"
PROXY_METHOD="none"
BROWSER_ONLY="no"
BOOTPROTO="none"
DEFROUTE="yes"
IPV4_FAILURE_FATAL="no"
IPV6INIT="yes"
IPV6_AUTOCONF="yes"
IPV6_DEFROUTE="yes"
IPV6_FAILURE_FATAL="no"
IPV6_ADDR_GEN_MODE="stable-privacy"
NAME="ens18"
UUID="aaaaaaaa-cccccccccc-dddddddddd-1111111"
DEVICE="ens18"
ONBOOT="yes"
IPADDR="172.16.18.2"
PREFIX="24"
GATEWAY="172.16.18.1"
DNS1="172.16.16.1"
DNS2="172.16.16.2"
DOMAIN="mydomain.com"
IPV6_PRIVACY="no"
ZONE=dmz

Любая помощь приветствуется, и я искренне благодарю вас за ваше время.

Если вы хотите сделать своего рояля частью удаленной локальной сети, вам нужно подделать ARP-ответы для виртуальных IP-адресов с помощью фарп плагин.