![](/img/trans.png)
[英]Approach for private DNS when using Point-to-Site with Azure VPN Gateway?
[英]Site-to-Site VPN with Strongswan, DNS server, overlapping subnets)
我需要使用遠程 VPC (IKEv2 + IPSec) 創建site-to-site
VPN。 雙方都使用對方的一些 web 資源,這些服務主機名使用 DNS 服務器(每側一個)映射到 IP。 A 面使用StrongSwan
Fortigate
網絡如下所示,其中Side B
可以訪問subnets A1, A2, A3
,而Side A
可以訪問subnet B
:
這是我在 B 面使用的配置
/etc/ipsec.config
conn %default
keyexchange=ikev2
mobike=no
authby=psk
conn sideA
left=%defaultroute
leftid=GATEWAY_B_PUBLIC_IP
leftsubnet=SUBNET_B
right=GATEWAY_A_PUBLIC_IP
rightid=GATEWAY_A_PRIVATE_IP
rightsubnet=SUBNET_A1,SUBNET_A2,SUBNET_A3
type=tunnel
auto=start
問題是Subnet A4
與Subnet B
重疊,因此此配置不起作用。 VPN Gateway B
是運行 Ubuntu 20 的虛擬機,因此可以自定義。
我已經按照以下內容更改了ipsec.conf
conn %default
keyexchange=ikev2
mobike=no
authby=psk
conn sideA
left=%defaultroute
leftid=GATEWAY_B_PUBLIC_IP
leftsubnet=VIRTUAL_SUBNET_B
right=GATEWAY_A_PUBLIC_IP
rightid=GATEWAY_A_PRIVATE_IP
rightsubnet=SUBNET_A1,SUBNET_A2,SUBNET_A3
type=tunnel
auto=start
其中VIRTUAL_SUBNET_B
是一個不與左側或右側重疊的虛擬子網。
並創建了以下NAT規則:
iptables -t nat -A PREROUTING -s SUBNET_Ax -d VIRTUAL_SUBNET_B -j NETMAP --to SUBNET_B
iptables -t nat -A POSTROUTING -s SUBNET_B -d SUBNET_Ax -j NETMAP --to VIRTUAL_SUBNET_B
在/etc/sysctl.conf
中添加以下行
net.ipv4.ip_forward = 1
net.ipv4.conf.all.rp_filter = 2
net.ipv4.conf.default.rp_filter = 2
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.