Я пытаюсь подключить свой сервер CentOS (CentOS release 6.7) к сторонней VPN, чтобы трафик мог маршрутизироваться между моим экземпляром Apache, прослушивающим частный IP-адрес с псевдонимом (192.168.253.1), через туннель. Физическая сетевая карта моего сервера напрямую подключена к Интернету.
Я установил псевдоним сетевой карты (ifcfg-eth1: 0) и настроил OpenSwan (Linux Openswan U2.6.32 / K2.6.32-573.22.1.el6.x86_64 (netkey)), насколько я могу судить.
Кажется, что туннель приближается, однако пакеты не проходят через туннель ни с одной стороны.
В исследовании, которое я нашел по этой теме, говорится, что мне нужно использовать правила POSTROUTING IPTABLES для трафика, предназначенного для их частной подсети (196.34.XX / 24), который будет маршрутизироваться через туннель (путем переписывания IP-адреса SOURCE на псевдоним IP 192.168.0.1). 253.1 вместо общедоступного IP-адреса машины по умолчанию), однако, поскольку эта новая версия OpenSwan, похоже, использует «ip xfrm», POSTROUTING в Iptables, который я пытался, игнорируется (путем проверки трафика с помощью tcpdump).
Обзор конфигурации сети, которую я пытаюсь настроить:
--- <196.25.X.X (их GW)> <<==== IPSEC VPN TUNNEL ====>> <41.X.X.X (My GW)>
Итак, мой основной вопрос: можно ли это сделать, то есть IPSEC site-to-site (псевдоним)? Где подсеть псевдонима находится на самой машине GW?
Во-вторых, если это возможно, как я могу перенаправить пакеты по туннелю (я полагаю, используя «ip xfrm» или мою конфигурацию Openswan, но из их документации, которую я прочитал, я не вижу, как?
Проблема возникла из-за неправильной конфигурации OpenSWAN, она была решена с помощью этого руководства (другой сайт использует M0n0wall):
http://spb.sdf.org/monowall_openswan.html
Для подтверждения, Openswan может быть настроен для маршрутизации в качестве частной сети при настройке типа "сеть-сеть" на сетевую карту с псевдонимом.