Мы тестируем VPN-сервер на DR. У нас есть облачный экземпляр в стойке с чистым VPN-сервером IPSEC, работающий в racoon и обслуживающий клиентов «Road Warrior». У нас есть NAT на сервере для внешней маршрутизации:
-A POSTROUTING -s 172.31.31.0/24 -o eth0 -j SNAT --to-source w.x.y.z
Он работает очень хорошо, клиенты windows, apple-ios и android отлично подключаются.
Что мы хотим сделать, так это настроить сервер на размещение нескольких веб-страниц только в VPN, то есть чтобы сервер имел IP-адрес в VPN. Мы могли бы сделать это, используя vpnc, чтобы подключиться к общедоступному IP-адресу, но это кажется излишним.
Есть ли способ сделать это, используя racoon или, возможно, петлевой интерфейс?
наш (тестовый) racoon conf:
path pre_shared_key "/etc/racoon/psk.txt";
remote anonymous {
ph1id 1;
exchange_mode aggressive,main;
my_identifier user_fqdn "redacted";
peers_identifier keyid tag "blah";
dpd_delay 20;
ike_frag on;
nat_traversal on;
passive on;
initial_contact off;
generate_policy unique;
proposal_check claim;
lifetime time 24 hour;
mode_cfg on;
verify_cert off;
proposal {
encryption_algorithm aes;
hash_algorithm sha1;
#hash_algorithm md5;
authentication_method xauth_psk_server;
dh_group 2;
}
}
sainfo anonymous {
remoteid 1;
lifetime time 12 hour;
encryption_algorithm aes,3des,blowfish;
authentication_algorithm hmac_sha1,hmac_md5;
compression_algorithm deflate;
}
mode_cfg {
network4 172.31.31.1;
pool_size 100;
netmask4 255.255.255.0;
dns4 8.8.8.8;
auth_source pam;
save_passwd on;
}