Назад | Перейти на главную страницу

racoon pure IPSEC VPN, лучший способ дать vpn серверу IP-адрес в VPN?

Мы тестируем VPN-сервер на DR. У нас есть облачный экземпляр в стойке с чистым VPN-сервером IPSEC, работающий в racoon и обслуживающий клиентов «Road Warrior». У нас есть NAT на сервере для внешней маршрутизации:

-A POSTROUTING -s 172.31.31.0/24 -o eth0 -j SNAT --to-source w.x.y.z

Он работает очень хорошо, клиенты windows, apple-ios и android отлично подключаются.

Что мы хотим сделать, так это настроить сервер на размещение нескольких веб-страниц только в VPN, то есть чтобы сервер имел IP-адрес в VPN. Мы могли бы сделать это, используя vpnc, чтобы подключиться к общедоступному IP-адресу, но это кажется излишним.

Есть ли способ сделать это, используя racoon или, возможно, петлевой интерфейс?

наш (тестовый) racoon conf:

path pre_shared_key "/etc/racoon/psk.txt";

remote anonymous {
        ph1id 1;
        exchange_mode aggressive,main;
        my_identifier user_fqdn "redacted";
        peers_identifier keyid tag "blah";
        dpd_delay 20;
        ike_frag on;
        nat_traversal on;
        passive on;
        initial_contact off;
        generate_policy unique;
        proposal_check claim;
        lifetime time 24 hour;
        mode_cfg on;
        verify_cert off;

        proposal {
                encryption_algorithm aes;
                hash_algorithm sha1;
                #hash_algorithm md5;
                authentication_method xauth_psk_server;
                dh_group 2;
        }
}

sainfo anonymous {
        remoteid 1;
        lifetime time 12 hour;
        encryption_algorithm aes,3des,blowfish;
        authentication_algorithm hmac_sha1,hmac_md5;
        compression_algorithm deflate;
}

mode_cfg {
        network4 172.31.31.1;
        pool_size 100;
        netmask4 255.255.255.0;
        dns4 8.8.8.8;
        auth_source pam;
        save_passwd on;
}