IP адрес сервера внутри IPSec

1

1

Всем привет!

Чё-то у меня ступор :)

Есть Debian сервер всего с 1 сетевой картой. Эта сетевуха смотрит в инет и на ней сервер принимает IKEv2 соединения из вне.
В качестве ipsec сервера strongswan.

Даже как-то работает - клиенты подключаются и авторизуются. Но вот запарка. А как клиентам теперь обращаться к ресурсам сервера через установленный туннель?

# ipsec status
Security Associations (1 up, 0 connecting):
   ikev2-vpn[1]: ESTABLISHED 3 seconds ago, my_server_ip[my_server_ip]...my_nat_ip[192.168.1.41]
   ikev2-vpn{1}:  INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: cd561a3e_i 3778dcdc_o
   ikev2-vpn{1}:   0.0.0.0/0 ::/0 === 10.10.10.0/24

Клиенту выдали ip из подсетки 10.10.10.0/24 а серверу ничего не выдали. :) Как клиенту обратиться к серверу через VPN?

Ссылка

←	Подключение l2tp

Debian: ifdown выводит ошибки

→

VTI, не?

Pinkbyte ★★★★★
(25.01.21 13:27:03 MSK)

Ответ на: комментарий от Pinkbyte 25.01.21 13:27:03 MSK

А клиент с Винды как и раньше сможет подключаться?

Spider55 ★
(25.01.21 15:08:41 MSK) автор топика

Ответ на: комментарий от Spider55 25.01.21 15:08:41 MSK

VTI - это настройка на стороне сервера. Требует IKEv2 насколько я помню - это у тебя уже есть.

Pinkbyte ★★★★★
(25.01.21 16:19:59 MSK)

Он может подключаться на IP-адрес любого сетевого интерфейса сервера.

ValdikSS ★★★★★
(26.01.21 00:32:37 MSK)

Ответ на: комментарий от ValdikSS 26.01.21 00:32:37 MSK

у сервера только 1 IP - белый внешний. И на него подключаться через VPN не получится, т.к. на него подключен сам VPN, а следовательно маршрут у клиента проложен «на прямую» иначе «замкнутый круг».

Есть мысль создать просто dummy интерфейс у сервера, на который «целить» клиентов. Но вот тут предлагают VTI, но пока я не допираю как его сюда прикрутить...

Spider55 ★
(26.01.21 06:16:44 MSK) автор топика

Ссылка

У сервера есть свой IP my_server_ip - вот пусть и дальше к нему обращаются как раньше.

~~zgen~~ ★★★★★
(26.01.21 09:43:40 MSK)

Вроде как, надо создавать и настраивать Virtual IP interface в подсетке 10.0.*

ip addr add 10.0.0.2/32 dev eth0

+ добавлять "leftsubnet" директиву

menangen ★★★★★
(26.01.21 09:54:44 MSK)
Последнее исправление: menangen 26.01.21 10:03:55 MSK (всего исправлений: 2)

Ответ на: комментарий от zgen 26.01.21 09:43:40 MSK

тогда это будет просто обращение к IP. Зачем тогда был VPN?

Spider55 ★
(26.01.21 13:02:10 MSK) автор топика

Ответ на: комментарий от menangen 26.01.21 09:54:44 MSK

примерно так и хотел, только создать dummy интерфейс с адресом в подсетке. Но увы - рушится маршрутизация и пакеты внутри впн перестают ходить.

Spider55 ★
(26.01.21 13:03:11 MSK) автор топика

Ссылка

Ответ на: комментарий от Pinkbyte 25.01.21 16:19:59 MSK

Не найдётся минутка на пример или разъяснение как? Чё-то по мануалам StrongSwan у меня ничерта не получилось...

Spider55 ★
(03.02.21 13:06:57 MSK) автор топика

Ссылка

Ответ на: комментарий от Spider55 26.01.21 13:02:10 MSK

А точно нужен vpn? IPSec может прозрачно шифровать любые ip-протоколы, VPN это частный случай. Главное, проверить, что пересылаемых данные реально шифруются :)

Khnazile ★★★★★
(03.02.21 13:29:38 MSK)

Ответ на: комментарий от Khnazile 03.02.21 13:29:38 MSK

Нужна совместимость «из коробки» с Windows и iOS. А в последнем вообще всё плохо, более менее сносно IKEv2 только.

Spider55 ★
(04.02.21 07:53:13 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Подключение l2tp

Admin

Debian: ifdown выводит ошибки

→

Похожие темы