Comment faire en sorte que strongswan site-2-site configure pour rouler deux servers derrière le pare-feu avec iptables désactivé

J'essaie d'utiliser strongswan pour configurer un site sur le site VPN pour permettre à deux sous-réseaux distants de communiquer entre eux. Le server agis en tant que client et server de strongswan sont tous deux derrière le routeur de pare-feu. Les deux servers ne sont pas sur IP publique, le routeur fait le NAT pour ces deux servers. Le réseau est comme suit: server A (192.168.0.3) – server B (ppp0 192.168.1.1, eth0: 192.168.0.11) — routeur / sieste —— (internet) —— – (routeur / nat) —- server C (ppp0: 192.168.1.128, eth0: 192.168.2.100) — server D (192.168.2.50)

J'essaie de laisser n'importe quel server sur le sous-réseau 192.168.0.0/24 comme le server A pour communiquer avec le sous-réseau 192.168.2.0/24 comme le server D.

J'ai suivi la configuration du site-2-site de strongswan. Le server B et le server C peuvent faire une communication ping. Mais, peu importe la façon dont j'ai configuré le server A et le server D, je ne peux pas communiquer. Le server B et le server C ne font pas l'itinéraire.

Je désactive le iptable / firewalld sur le server B et le server C et configurez la configuration nette suivante: net.ipv4.ip_forward = 1 net.ipv4.conf.all.rp_filter = 0 net.ipv4.conf.default.rp_filter = 0 net .ipv4.conf.all.send_redirects = 1 net.ipv4.conf.default.send_redirects = 1 net.ipv4.conf.all.accept_redirects = 1 net.ipv4.conf.default.accept_redirects = 1 net.ipv4.conf.default .accept_source_route = 1

Configuration de strongswan sur le server B: /etc/ipsec.conf

# Add connections here. conn %default ikelifetime=60m keylife=20m rekeymargin=3m keyingsortinges=1 conn mytunnel # left=192.168.0.11 leftid=%any leftsubnet=192.168.0.0/24 right=%defaultroute rightid=%any rightsubnet=172.20.10.10/24 ike=aes256-sha2_256-modp1024! esp=aes256-sha2_256! keyingsortinges=0 ikelifetime=1h lifetime=8h dpddelay=30 dpdtimeout=120 dpdaction=clear authby=secret auto=start keyexchange=ikev2 type=tunnel 

Configuration de strongswan sur le server c:

  conn %default ikelifetime=60m keylife=20m rekeymargin=3m keyingsortinges=1 keyexchange=ikev1 # keyexchange=ikev2 authby=secret ike=aes128-sha1-modp1024,3des-sha1-modp1024! esp=aes128-sha1-modp1024,3des-sha1-modp1024! conn mytunnel # left=%defaultroute leftid=%any leftsubnet=172.20.10.0/24 right=117.107.176.72 rightid=%any rightsubnet=192.168.0.0/24 ike=aes256-sha2_256-modp1024! esp=aes256-sha2_256! keyingsortinges=0 ikelifetime=1h lifetime=8h dpddelay=30 dpdtimeout=120 dpdaction=clear authby=secret auto=start keyexchange=ikev2 type=tunnel 

Le ppp utilise x2ltpd en tant que L2TP. Disbale iptables / firewalld devrait permettre à centos7 d'apather le package. Pourquoi ne fonctionne-t-il pas? Aidez-nous

Après la connection IPSec / XL2TPD, j'ajoute l'itinéraire ip append 192.168.0.0/24 dev ppp0 au server C, et l'itinéraire ip append 192.168.2.0/24 dev ppp0 au server B. Mais pas d'itinéraire

Meilleures salutations