Вопросы Теги

networkmanager -strongswan vpn -маршрутизация определенного IP-адреса через VPN

dateне удается прочитать вывод по умолчаниюThu 16 Jan 15:00:00 UTC 2020

Любой вывод date, который вы хотите снова обработать в date, должен быть отформатирован со строкой формата '+%F %T'.

1
23.03.2020, 13:52
1 ответ

Strongswan использует маршрутизацию на основе политик, которые настраиваются с помощью xfrmполитик :

.
  1. политика dir outговорит, что делать с пакетами с 172.26.199.18/32по0.0.0.0/0:их нужно шифровать и отправлять через VPN-туннель.
  2. политики dir inи dir fwdговорят, что делать, когда приходит зашифрованный пакет. Если после расшифровки пакет с 0.0.0.0/0по 172.26.199.18/32не пришел из указанного туннеля, он отбрасывается. Пакеты открытого текста не подлежат этому.

Чтобы ограничить использование сети VPN, у вас есть три решения.:

  1. Сети, указанные в этих правилах, согласовываются между вашим сервером IKE и удаленным сервером. Плагин NetworkManager всегда предлагает туннель между your_ip/32и 0.0.0.0/0. Если удаленный сервер предлагает 0.0.0.0/0и 10.0.0.0/8, результирующее соединение будет :между your_ip/32и 10.0.0.0/8. Поэтому вам нужно попросить администратора удаленной конечной точки правильно настроить его демон IKE.

  2. Вы можете отказаться от использования NetworkManager для VPN-туннеля, установить charon -systemd и создать простой файл конфигурации (, например./etc/swanctl/conf.d/my_vpn.conf):

    connections {
    my_vpn {
        version = 2
        local_addrs=%any
        remote_addrs=vpn********.it
        local {
            auth = eap
            eap_id = your_username
        }
        remote {
            auth = pubkey
            id = server_name
        }
        children {
            my_tunnel {
                #local_ts = dynamic
                remote_ts = remote_network
            }
        }
    }
}

    перезагрузите демон(systemctl reload strongswan-swanctl)и запустите:

    swanctl --initiate --ike my_vpn --child my_tunnel

  3. Добавьте свои собственные политики со значением priorityменьшим, чем автоматически установленное, что позволит разрешить незашифрованный трафик, например.:

    ip xfrm policy add src your_ip/32 dst 192.0.2.0/24 \
    dir out priority 1000
ip xfrm policy add src 192.0.2.0/24 dst your_ip/32 \
    dir in priority 1000

    , что позволит передавать открытый текст на 192.0.2.0/24.

1
28.04.2021, 23:21

Теги

Похожие вопросы