Как настроить сервер StrongSwan vpn в качестве маршрутизатора
У меня есть сервер StrongSwan VPN, работающий на Ubuntu 16.04.5 LTS. Общедоступный IP-адрес - 51.xxx. Конфигурация сайта на сайт между моим сервером StrongSwan vpn и другим VPN-сервером, который является межсетевым экраном Cisco ASA с общедоступным IP-адресом 41.10.10.2, работает нормально.
Когда туннель работает, я могу пинговать и телнетить на частный сервер 41.10.11.3, который находится за межсетевым экраном Cisco ASA. Сервер 41.10.11.3 недоступен через открытый интернет, кроме как через туннель vpn. Обратите внимание, что IP является публичным IP.
Я настроил этот сервер strongswan vpn в качестве моста между моей частной сетью 192.168.0.0/16 и межсетевым экраном cisco ASA (мой частный IP-адрес сервера strongswan vpn - 192.168.0.8). То есть я хочу иметь возможность пинговать или телнетить в 41.10.11.3 из 192.168.0.13 через VPN-сервер Strongswan, действующий в качестве маршрутизатора.
У моего сервера vpn есть два NICS: ens18, которые несут общедоступный IP-адрес, и ens19 с частным IP-адресом.
Я определил две зоны в моем VPN-сервере: открытую и внутреннюю. Я назначил публичный интерфейс для публичной зоны и приватный интерфейс для внутренней зоны.
Я успешно выполнил эту команду для пересылки пакетов, но не вижу ее эффекта sudo firewall-cmd --permanent --direct --passthrough ipv4 -t nat -I POSTROUTING -o ens18 -j MASQUERADE -s 192.168.0.0/23 -d 41.220.79.242
Когда я пытаюсь пропинговать 41.10.11.3, это не удалось. 100% потеря пакетов.
Вот мои конфигурации на сервере Strongswan vpn:
sore @ ubuntu-vpnserver: ~ $ sudo firewall-cmd --list-all --zone = public [sudo] пароль для sore: общедоступный (по умолчанию, активный) интерфейсы: ens18 источники: службы: dhcpv6-client ipsec ssh порты: 4500/udp 500/ протоколы udp: маскарад: да forward-порты: порт =4500:proto=udp:toport=443:toaddr=137.74.50.58 порт =500:proto=udp:toport=443:toaddr=137.74.50.58 порт =4500:proto=udp:toport=443:toaddr=192.168.0.13 port=500:proto=udp:toport=443:toaddr=192.168.0.13 icmp-blocks: rich rules: значение протокола правила ="ah" принять значение протокола правила ="esp" принять
Вот мой файл /etc/network/interfaces
auto ens18 iface ens18 статический адрес inet 51.xxx маска сети 255.255.255.255 широковещательная передача 51.xxx маршрут пост-вверх добавить 54.36.12x.x dev ens18 маршрут пост-вверх добавить по умолчанию gw 54.36.12x.x маршрут пре-вниз del 54.36.12x.x dev ens18 маршрут перед началом пути по умолчанию gw 56.36.12x.x dns-nameservers 213.186.xx
auto ens19 iface ens19 статический адрес inet 192.168.0.8 маска сети 255.255.254.0 getway 192.168.0.1