Как настроить strongswan на внешнее подключение?

Question

Адриан Макриденко @maccree

freelance backend developer

Как настроить strongswan на внешнее подключение?

Здравствуйте! Есть такая ситуация, нужно настроить vpn тунель по такой схеме:

Клиент -> Сервер -> Заказчика

Причем, должно быть так, что у заказчика нет доступа в сеть, он должен быть только в подсети сервера.
Нужно настроить такую подсеть, чтобы она на сервере,с доступом в интернет и имела тунель к заказчику.

Соединение сервер -> заказчик я сделал, вот конфиг:

config setup
  charondebug="ike 2, knl 2, cfg 2"

conn %default
  keyexchange=ikev2
  auto=add

conn vpn
  leftsourceip=%config
  leftcert=<сертификат>.crt
  leftfirewall=yes
  right=<адрес>
  rightsubnet=192.168.120.0/24
  rightid=@<адрес>
  type=tunnel
  authby=pubkey

сделать доступ к сервер( клиент -> сервер ) не получилось.

spoiler

Прошу прощения если где-то напутал с терминами, мало опыта с vpn сетями

Вопрос задан 13 июн.
136 просмотров

4 комментария

Подписаться 2 Средний 4 комментария

AlexVWill @AlexVWill

нарисуй топологию сети, куда кто должен получить доступ...

тунель по такой схеме:

Клиент -> Сервер -> Заказчика

звучит вообще непонятно

Написано 13 июн.
Адриан Макриденко @maccree Автор вопроса

AlexVWill, честно, я сам не совсем понимаю, я прям 0 в этом

Должно быть так:
Разработчики(клиент) имеют должны подключаться к подсети сервера, а сервер подключается к подсети сервера заказчика

надеюсь чуть-чуть понятнее

Написано 13 июн.
AlexVWill @AlexVWill

Адриан Макриденко, если я правильно понял задачу, тебе надо чтобы твой "Сервер" к которому подключаются клиенты имел в свою очередь доступ в некую сеть, в которой есть сервер заказчика... тогда логичнее сделать проще - сделать "Сервер" клиентов в свою очередь VPN клиентом сети, в качестве сервера которой будет сервер "Заказчик"...

Написано 13 июн.
CityCat4 @CityCat4 Куратор тега VPN

Насколько я понял, клиенты должны подключаться к серверу (режим roadwarrior), который в свою очередь должен иметь туннель с заказчиком, то есть фактически туннелей два.
1. На схему нанести IP адреса. Шван не использует маршрутизацию (точнее говоря IPSec ее не использует), пакеты доставляются согласно политикам, вот их нужно будет очень внимательно писать.
2. Создать два соединения - одно туннель сеть-сеть сервера с заказчиком, второе roadwarrior - сервера с клиентами. Как создать - у швана хорошая документация, куча примеров.
Внимание! Если клиентами будет винда и авторизация по сертификатам - в сертификате сервера обязательно SAN, который должен содержать IP адрес! Иначе винда не сконнектится!

Написано 14 июн.

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

VPN

+2 ещё

Средний
Как поднять пинг в сервисе облачного гейминга?
- 1 подписчик
- 8 часов назад
- 51 просмотр
3

ответа
Ubuntu

+2 ещё

Средний
Как сделать максимальную частоту процессора на виртуальной машине Windows Server 2022?
- 2 подписчика
- вчера
- 117 просмотров
1

ответ
Ubuntu

+2 ещё

Средний
Запускаю сайты на apache2 и выдает такую ошибку DNS_PROBE_FINISHED_NXDOMAIN?
- 1 подписчик
- 20 нояб.
- 64 просмотра
0

ответов
C#

+2 ещё

Простой
Почему не отправляются письма по SMTP с сервера Ubuntu, но с локалки Windows все хорошо?
- 3 подписчика
- 20 нояб.
- 406 просмотров
1

ответ
PHP

+2 ещё

Сложный
Как обойти блокировку серверов CloudFlare на уровне провайдера?
- 1 подписчик
- 20 нояб.
- 4018 просмотров
6

ответов
Веб-разработка

+3 ещё

Простой
Какие параметры отвечают за rateLimit в Ingress kuberneties?
- 1 подписчик
- 20 нояб.
- 61 просмотр
2

ответа
Системное администрирование

+1 ещё

Простой
Как раздать интернет в другую подсеть внутри микрота?
- 2 подписчика
- 20 нояб.
- 1650 просмотров
2

ответа
VPN

+1 ещё

Простой
Как продлить сертификат панели 3X-UI?
- 1 подписчик
- 19 нояб.
- 326 просмотров
2

ответа
Google

+1 ещё

Средний
Как мне настроить VPN, чтобы обойти гугловский определитель локации?
- 3 подписчика
- 18 нояб.
- 9273 просмотра
9

ответов
Ubuntu

+1 ещё

Средний
Почему не видны снаружи порты докера в Ubuntu?
- 1 подписчик
- 17 нояб.
- 138 просмотров
3

ответа
Показать ещё Загружается…

Fullstack-разработчик (PHP / VueJS)

Bash Today

от 200 000 до 230 000 ₽

Разработчик АСУТП

Гринатом • Новосибирск

До 100 000 ₽

Старший аналитик 1С

SM Lab

До 250 000 ₽

SSL/TLS Certificate pinning / Reverse engineer Android

23 нояб. 2024, в 09:59

2000 руб./в час

Перерисовать логотип в вектор

23 нояб. 2024, в 08:36

2000 руб./за проект

Необходимо доработать несколько задач

23 нояб. 2024, в 07:32

75000 руб./за проект

нарисуй топологию сети, куда кто должен получить доступ...

тунель по такой схеме:

Клиент -> Сервер -> Заказчика

звучит вообще непонятно
AlexVWill, честно, я сам не совсем понимаю, я прям 0 в этом

Должно быть так:
Разработчики(клиент) имеют должны подключаться к подсети сервера, а сервер подключается к подсети сервера заказчика

надеюсь чуть-чуть понятнее
Адриан Макриденко, если я правильно понял задачу, тебе надо чтобы твой "Сервер" к которому подключаются клиенты имел в свою очередь доступ в некую сеть, в которой есть сервер заказчика... тогда логичнее сделать проще - сделать "Сервер" клиентов в свою очередь VPN клиентом сети, в качестве сервера которой будет сервер "Заказчик"...
Насколько я понял, клиенты должны подключаться к серверу (режим roadwarrior), который в свою очередь должен иметь туннель с заказчиком, то есть фактически туннелей два.
1. На схему нанести IP адреса. Шван не использует маршрутизацию (точнее говоря IPSec ее не использует), пакеты доставляются согласно политикам, вот их нужно будет очень внимательно писать.
2. Создать два соединения - одно туннель сеть-сеть сервера с заказчиком, второе roadwarrior - сервера с клиентами. Как создать - у швана хорошая документация, куча примеров.
Внимание! Если клиентами будет винда и авторизация по сертификатам - в сертификате сервера обязательно SAN, который должен содержать IP адрес! Иначе винда не сконнектится!

Как настроить strongswan на внешнее подключение?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт