Routing von IPsec-VPN für das VM-Subnetz

880
rantam0ct

Mein physischer Computer kann einen IPsec-Tunnel (mit Strongswan) zu meinem über Internet zugänglichen VPS einrichten, sodass der Internetverkehr meines physischen Computers über meinen VPS erfolgt.

Ich habe es auch versucht und war bei der Einrichtung von Strongswan in einer VM auf meinem physischen Computer erfolgreich. Erwartungsgemäß kann meine VM über meine VPS auf das Internet zugreifen.

Was ich gerne machen möchte, ist, dass Strongswan auf meinem physischen Computer ausgeführt wird, sodass der Verkehr all meiner VMs (in 192.168.122.0/24) über meinen VPS erfolgt. Ich denke, dass dies mit einer Site-to-Site-Konfiguration möglich sein sollte (Beispiel hier: https://www.strongswan.org/testing/testresults/ikev2/net2net-cert/ ), was ich jedoch nicht konnte Bring es zur Arbeit. Ich bin mir nicht sicher, ob mein Problem in der Strongswan-Konfiguration oder in meiner VM-Netzwerkkonfiguration oder in beiden Fällen liegt.

ipsec.conf auf meinem physischen Rechner:

config setup charondebug="ike 2, cfg 2"  conn kvm-test rightsubnet=0.0.0.0/0 keyexchange=ikev2 ike=aes256gcm128-sha512-modp8192! esp=aes256gcm128-sha512-modp8192! leftcert=client.pem auto=add right=123.123.123.123 # not my VPS's actual IP rightcert=vpn_server.pem leftsubnet=192.168.122.0/24 left=192.168.1.2

ipsec.conf auf meinem VPS:

config setup # strictcrlpolicy=yes # uniqueids = no  conn %default keyexchange=ikev2 leftfirewall=yes auto=add leftsubnet=0.0.0.0/0 left=123.123.123.123 # not my VPS's actual IP ike=aes256gcm128-sha512-modp8192! esp=aes256gcm128-sha512-modp8192!  conn kvm-test leftcert=vpn_server.pem rightcert=client.pem rightsubnet=192.168.122.0/24

Mit dieser Konfiguration wurde die Verbindung erfolgreich hergestellt, der Datenverkehr meiner VM wird jedoch nicht durchlaufen. Ich sollte beachten, dass ip route show table 220nichts angezeigt wird, was sich von dem oben genannten Beispiel unterscheidet, und ich bin mir nicht sicher, was ich da einfügen sollte ... ip route add table 220 default via 123.123.123.123 proto staticfunktioniert nicht. Irgendwelche Gedanken?

1
Hat Ihre Virtualisierungslösung NAT den Datenverkehr von 192.168.122.0/24 zur physischen IP-Adresse Ihres Hosts (192.168.1.2)? Wenn dies der Fall ist, müssen Sie dies vermeiden und eine Regel hinzufügen, die den Verkehr akzeptiert, der einer IPSec-Richtlinie entspricht (siehe hier [https://wiki.strongswan.org/projects/strongswan/wiki/ForwardingAndSplitTunneling#Hosts-on-the- Internet)). ecdsa vor 6 Jahren 0
ecdsa, vielen dank - das hat funktioniert! Bitte senden Sie Ihren Kommentar als Antwort, und ich akzeptiere ihn. rantam0ct vor 6 Jahren 0

1 Antwort auf die Frage

0
ecdsa

Wenn Ihre Virtualisierungslösung den Datenverkehr von 192.168.122.0/24 zur physischen IP-Adresse Ihres Hosts (192.168.1.2) NATs macht, müssen Sie dies vermeiden und eine Regel hinzufügen, die den Verkehr akzeptiert, der einer IPSec-Richtlinie entspricht. Zum Beispiel ( mehr Details ):

iptables -t nat -I POSTROUTING -s 192.168.122.0/24 -o eth0 -m policy --dir out --pol ipsec -j ACCEPT

Verwandte Probleme