Hi all. Уже неделю вяло ковыряю проблему с роутингом и IPsec.
Вкратце - есть сервер RAS с кучкой разношёрстных VPN, на сервер в числе прочих поднят IPsec туннель (сети 192.168.x.0/24(в сторону сервера) и 192.168.y.0/24(в сторону клиента).
Сервер multi-homed (есть ещё отдельные интерфейсы с сетями 192.168.a.0/24, 192.168.b.0/24, 192.168.c.0/24), но физически сети 192.168.x.0/24 нет - вместо неё на интерфейс, через который идёт туннель добавлен адрес 192.168.x.20 Со стороны клиента стоит гейт с ip 192.168.y.1
Трафик отлично ходит из 192.168.y.0 до приложений на сервере, но как разрешить подключения из 192.168.a.0 в 192.168.y.0?
Попытки прописывать правила в SuSefirewall и маршруты с gw 192.168.y.1 приводят к тому, что пакеты с SRC=192.168.a.20 и DST=192.168.y.1 появляются на внешнем интерфейсе. Только вот не завёрнутые в IPsec.
Нужно, насколько я понял создавать отдельные IPsec полиси [192.168.a.1] => [192.168.y.1], но как это сделать в strongswan? Не создавать же отдельное подключение.
Второй вариант - как-то прописать маскарадинг, чтобы исходящие пакеты в сеть 192.168.y.1 получали SRC=192.168.x.20 и заворачивались в IPsec.
Есть ли штатный способ такое заставить работать или только руками iptables править?
