1 votos

Enrutamiento VPN IPsec para VM subred

Mi equipo físico es capaz de establecer un túnel IPsec (con Strongswan) a mi con acceso a internet VPS, por lo que mi equipo físico del tráfico de internet pasa a través de mi VPS.

También intenté y fue un éxito en el establecimiento de Strongswan en una máquina virtual corriendo en mi máquina física. Como era de esperar, mi VM puede acceder a internet a través de mi VPS.

Lo que me gustaría hacer es tener Strongswan que se ejecutan en el equipo físico, de modo que el tráfico de todos mis VM (en 192.168.122.0/24) pasa a través de mi VPS. Creo que este debe ser capaz de hacer-con un sitio-a-sitio de configuración (por ejemplo aquí:https://www.strongswan.org/testing/testresults/ikev2/net2net-cert/), sin embargo no he sido capaz de llegar al trabajo. No estoy seguro de si mi problema es con el Strongswan de configuración, o con mi VM configuración de red, o ambos...

ipsec.conf en mi máquina física:

config setup
    charondebug="ike 2, cfg 2"

conn kvm-test
    rightsubnet=0.0.0.0/0
    keyexchange=ikev2
    ike=aes256gcm128-sha512-modp8192!
    esp=aes256gcm128-sha512-modp8192!
    leftcert=client.pem
    auto=add
    right=123.123.123.123 # not my VPS's actual IP
    rightcert=vpn_server.pem
    leftsubnet=192.168.122.0/24
    left=192.168.1.2

ipsec.conf en mi VPS:

config setup
        # strictcrlpolicy=yes
        # uniqueids = no

conn %default
    keyexchange=ikev2
    leftfirewall=yes
    auto=add
    leftsubnet=0.0.0.0/0
    left=123.123.123.123 # not my VPS's actual IP
    ike=aes256gcm128-sha512-modp8192!
    esp=aes256gcm128-sha512-modp8192!

conn kvm-test
    leftcert=vpn_server.pem
    rightcert=client.pem
    rightsubnet=192.168.122.0/24

Con esta configuración, la conexión se ha establecido correctamente, sin embargo mi VM de tráfico de no ir a través de él. Debo señalar que la ip route show table 220 no muestra nada, que a diferencia del ejemplo vinculada a la anterior, y no estoy seguro de lo que debo poner ahí... ip route add table 220 default via 123.123.123.123 proto static no funciona. Los pensamientos?

0voto

MyStream Puntos 66

Si su solución de virtualización de los NATs, el tráfico de 192.168.122.0/24 para su física del host IP (192.168.1.2) debe evitar y agregar una regla que acepta el tráfico que coincida con una directiva IPsec. Por ejemplo (más detalles):

iptables -t nat -I POSTROUTING -s 192.168.122.0/24 -o eth0 -m policy --dir out --pol ipsec -j ACCEPT

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: