Я использую openswan для соединения двух машин через IPSec. Туннель работает нормально, и у меня есть подключение к каждой конечной точке через VPN.
Однако, когда туннель открыт, я теряю возможность подключения к IP-адресам общедоступных конечных точек. Например, пинговать публичный адрес сайта A 1.2.3.4 с публичного адреса сайта B 4.5.6.7 (и наоборот) не удается.
Когда туннель открыт, я заметил кое-что любопытное, что могло бы объяснить это поведение.
#ip xfrm policy
src 1.2.3.4/32 dst 4.5.6.7/32
dir out priority 2080 ptype main
tmpl src 0.0.0.0 dst 0.0.0.0
proto esp reqid 0 mode transport
Я отрезал выводит результат повторного анализа, поскольку он содержит только логические записи (частные сети, соединенные туннелем).
Есть идеи, что мне не хватает?
Я не совсем знаком с синтаксисом xfrm, но он выглядит так:
Вы можете настроить свою маршрутизацию таким образом, чтобы:
Это сводится к тому, что вам нужно иметь способ различать маршрут по умолчанию, как показано от маршрутизатора (к Интернету) и маршрут по умолчанию, наблюдаемый для трафика, исходящего из подсети LAN за маршрутизатором. Часто они совершенно разные.