IPSec site2site ทันเนล + VPN

ในโครงการวิจัยของเรา เราจำเป็นต้องปรับใช้เซิร์ฟเวอร์ "มอลลี่" ที่บริษัทอื่น พวกเขาให้เราตั้งค่าอุโมงค์ IPSec ไปยังไฟร์วอลล์/เกตเวย์ และจากนั้น การสื่อสารจะถูกส่งต่อไปยังเซิร์ฟเวอร์ของเรา ฉันกำหนดค่า StrongSwan บนเครื่องเกตเวย์ "Dolly" และใช้งานได้ค่อนข้างดี Dolly มีที่อยู่สาธารณะ เช่น 1.1.1.1 และที่อยู่เสมือน 10.10.1.1 ซึ่งจำเป็นสำหรับ site2site tunnel ที่เชื่อมต่อกับการ์ดเครือข่าย "eth0" เดียวกัน ในอีกด้านหนึ่ง Molly มี 10.10.2.1 ขณะที่ฉันเข้าสู่ระบบ Dolly ฉันสามารถ ping Molly ที่ที่อยู่นี้ได้โดยไม่มีปัญหา แม้ว่า StrongSwan จะไม่ได้ตั้งค่าการกำหนดเส้นทางอย่างชัดเจน (ซับเน็ต 10.10.2.1/24 ไม่ปรากฏในตารางเส้นทาง)

ฉันต้องการให้ทีมของเราเข้าถึงมอลลี่ Dolly (เกตเวย์ของเรา) อยู่บนเครือข่ายขนาดใหญ่ ดังนั้นฉันจึงคิดว่าจะสร้าง VPN ที่ดำเนินการโดย Dolly ซึ่งสมาชิกในทีมสามารถเชื่อมต่อได้ ฉันกำหนดค่า OpenVPN ด้วย 10.10.1.0/24 เป็นที่อยู่ซับเน็ต OpenVPN ตั้งค่า 10.10.1.1 บนอุปกรณ์ "tap0" ฉันสามารถเชื่อมต่อได้ และฉันได้รับ 10.10.1.2 บนอินเทอร์เฟซการแตะของไคลเอ็นต์ OpenVPN ฉันสามารถ ping 10.10.1.1

ดังนั้น ฉันคิดว่าฉันทำได้ (แต่ไม่ใช่!) บริดจ์ eth0 และ tap0 บน Dolly ภายใต้ br0 ดังนั้นข้อความทั้งหมดที่ข้ามผ่านเครือข่าย OpenVPN จะพร้อมใช้งานสำหรับอุโมงค์ StrongSwan ถ้าใครก็ตามในเครือข่ายย่อย OpenVPN ส่งแพ็กเก็ตไปที่ 10.10.2.1 พวกเขาจะแสดงบนอุปกรณ์บริดจ์บน Dolly และเท่าที่ฉันเข้าใจ จะถูกดึงเข้าไปในอุโมงค์เนื่องจากการตั้งค่า iptables ของ StrongSwan

ถึงกระนั้น มันไม่ได้เกิดขึ้น... การ Ping - และสิ่งอื่นใด - จากสมาชิก VPN ใดๆ (เช่น 10.10.1.2) เป็นไปไม่ได้ ใช้งานได้จาก Dolly (10.10.1.1) เท่านั้น การรีสตาร์ทอุโมงค์โดยที่สะพานเข้าที่แล้วเป็นไปอย่างราบรื่นแต่ไม่ได้เปลี่ยนสถานการณ์ฉันพยายามเพิ่มกฎการกำหนดเส้นทางบนคอมพิวเตอร์ไคลเอนต์ (10.10.1.2) โดยบอกว่าให้ใช้ 10.10.1.1 เป็นเกตเวย์ไปยัง 10.10.2.0/24 แต่ด้วยเหตุผลบางอย่าง มันปฏิเสธ ("ข้อผิดพลาด: "to" is duplicate หรือ " gw"เป็นขยะ").

ฉันหลงทาง. มีใครจัดการเพื่อให้ได้การกำหนดค่าประเภทนี้หรือไม่?

ขอบคุณล่วงหน้า!

ซีมอน