Strongswan Routing Roadwarrior dengan VM IP, bukan IP virtual

Saya kehabisan akal di sini dengan masalah ini.

Saya memiliki VM stongswan dengan hanya 1 antarmuka internet pribadi (EN18). Saya bisa berhasil menyambungkannya dan mendapatkan IP virtual, tetapi masalah saya adalah jaringan di luar Strongswan VM melihat lalu lintas pengguna roadwarrior berasal dari VM Strongswan, bukan langsung dari alamat IP virtual roadwarrior. Saya ingin dapat mengontrol akses pengguna pada perangkat keras / router, jadi saya memerlukan lalu lintas yang berasal dari IP virtual. Berikut penjelasan yang lebih baik melalui diagram:

diagram masalah perutean vpn

Di bawah ini adalah konfigurasi saya:

Tabel Perutean:

[root@moon ~]# ip route list
default via 172.16.18.1 dev ens18 proto static metric 100 
172.16.18.1/28 dev ens18 proto kernel scope link src 172.16.18.2 metric 100

File ipsec.conf saya:

[root@moon strongswan]# cat /etc/strongswan/ipsec.conf
#charondebug="all"

conn myConfig
keyexchange=ikev2
ike=aes256-sha384-modp4096!
esp=aes256gcm16-ecp384!
dpdaction=clear
dpddelay=60s
left=%any
leftid=moon.mydomain.com
leftsubnet=172.16.18.1/24,172.16.202.1/24
leftcert=moon.der
leftsendcert=always
right=%any
rightauth=eap-tls
rightdns=172.16.16.1
eap_identity=%identity
auto=route

conn rw_HERBERT
[email protected]
rightsourceip=172.16.18.3/32
also=myConfig

File konfigurasi antarmuka saya:

[root@moon strongswan]# cat /etc/sysconfig/network-scripts/ifcfg-ens18
TYPE="Ethernet"
PROXY_METHOD="none"
BROWSER_ONLY="no"
BOOTPROTO="none"
DEFROUTE="yes"
IPV4_FAILURE_FATAL="no"
IPV6INIT="yes"
IPV6_AUTOCONF="yes"
IPV6_DEFROUTE="yes"
IPV6_FAILURE_FATAL="no"
IPV6_ADDR_GEN_MODE="stable-privacy"
NAME="ens18"
UUID="aaaaaaaa-cccccccccc-dddddddddd-1111111"
DEVICE="ens18"
ONBOOT="yes"
IPADDR="172.16.18.2"
PREFIX="24"
GATEWAY="172.16.18.1"
DNS1="172.16.16.1"
DNS2="172.16.16.2"
DOMAIN="mydomain.com"
IPV6_PRIVACY="no"
ZONE=dmz

Setiap bantuan sangat dihargai dan saya dengan tulus berterima kasih atas waktu Anda.

vpn routing strongswan David Michalczuk
sumber

Jawaban:

Jika Anda ingin menjadikan roadwarrrior Anda bagian dari LAN jarak jauh, Anda harus memalsukan respons ARP untuk IP virtual dengan menggunakan plugin farp .

ecdsa
sumber

Hai Ecdsa, terima kasih atas tanggapan Anda! Untuk memperjelas, roadwarriors sebenarnya dapat menerima ping melalui alamat IP virtual mereka. Masalahnya adalah ketika mereka melakukan ping mesin pada subnet lain, mesin melihat lalu lintas yang berasal dari alamat IP VM strongswan, BUKAN IP virtual. Saya membutuhkan lalu lintas untuk berasal dari alamat IP virtual yang ditugaskan sehingga saya dapat memperbaiki kebijakan firewall perangkat keras saya.

David Michalczuk

Seperti yang saya katakan, Anda harus menggunakan plugin farp untuk benar-benar membuat klien Anda menjadi bagian dari LAN jarak jauh, daripada mengubah lalu lintas mereka ke IP dari server StrongSwan.

ecdsa

Sekali lagi terima kasih atas balasan Anda, ECDSA. Saya akan melihat ke dalam plugin FARP dan melihat apakah saya bisa mengetahuinya.

David Michalczuk

Hai @ECDSA, berikan pembaruan jika ada orang lain yang mengalami masalah ini. Saya masih belum bisa menyelesaikan masalah ini. Namun saya meninjau konfigurasi saya dan dapat mengkonfirmasi bahwa FARP memang berfungsi dan dimuat. Plugin itu memberi saya alamat lokal yang bisa saya ping, tetapi tidak akan membiarkan klien melakukan ping apa pun di luar Strongswan VM dengan Alamat IP Virtual mereka. Saya bermain-main sekarang dengan tabel routing karena saya pikir tabel saya 220 memaksa klien untuk menggunakan IP Strongswan sebagai alamat src mereka. Saya akan memposting pembaruan / kemajuan. Terima kasih!

David Michalczuk