networkmanager-strongswan vpn - VPN을 통해 특정 IP 라우팅

networkmanager-strongswan vpn - VPN을 통해 특정 IP 라우팅

Linux Mint 19.2에서 VPN을 설정하려고 합니다.

나는 사용하고있다네트워크 관리자-strongswan그래서 나는 이것을 추가했습니다.VPN아래에/etc/NetworkManager/system-connections/

[connection]
id=VPN
uuid=be1d4fd1-bbaa-4aa9-9fdc-e293bf16fe67
type=vpn
autoconnect=false
permissions=
timestamp=1582680217

[vpn]
address=vpn********.it
certificate=
encap=yes
ipcomp=no
method=eap
password-flags=0
proposal=no
user=user
virtual=yes
service-type=org.freedesktop.NetworkManager.strongswan

[vpn-secrets]
password=password

[ipv4]
dns-search=
ignore-auto-dns=true
ignore-auto-routes=true
method=auto

[ipv6]
addr-gen-mode=stable-privacy
dns-search=
ip6-privacy=0
method=ignore

연결은 잘 작동하며 개인 네트워크에서 SSH를 사용하여 액세스할 수 있습니다. 가장 큰 문제는 일단 연결되면 온라인에 접속할 수 없다는 것입니다. VPN에 연결하면 다른 모든 주소가 잠깁니다. 구성에 해당 플래그를 추가했는데 연결이 잠긴 이유는 무엇입니까
?ignore-auto-routes


IP 하나산출*

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 00:0c:29:3c:de:1b brd ff:ff:ff:ff:ff:ff
    inet yy.16.209.132/24 brd yy.16.209.255 scope global dynamic noprefixroute ens33
       valid_lft 1656sec preferred_lft 1656sec
    inet yy.26.199.18/32 scope global ens33
       valid_lft forever preferred_lft forever
    inet6 fe80::216e:bcc0:3b4f:44b2/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever

경로-n산출

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         yy.16.209.2    0.0.0.0         UG    20100  0        0 ens33
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 ens33
yy.16.209.0    0.0.0.0         255.255.255.0   U     100    0        0 ens33
yy.26.199.18   0.0.0.0         255.255.255.255 UH    50     0        0 ens33
yy.26.199.18   0.0.0.0         255.255.255.255 UH    100    0        0 ens33

IP XFRM 정책산출VPN 없음

src yy.16.209.0/24 dst yy.16.209.0/24 
    dir fwd priority 175423 
src yy.16.209.0/24 dst yy.16.209.0/24 
    dir in priority 175423 
src yy.16.209.0/24 dst yy.16.209.0/24 
    dir out priority 175423 
src 169.254.0.0/16 dst 169.254.0.0/16 
    dir fwd priority 183615 
src 169.254.0.0/16 dst 169.254.0.0/16 
    dir in priority 183615 
src 169.254.0.0/16 dst 169.254.0.0/16 
    dir out priority 183615 
src fe80::/64 dst fe80::/64 
    dir fwd priority 134463 
src fe80::/64 dst fe80::/64 
    dir in priority 134463 
src fe80::/64 dst fe80::/64 
    dir out priority 134463 
src yy.26.199.18/32 dst 0.0.0.0/0 
    dir out priority 383615 
    tmpl src yy.16.209.132 dst xx.xx.124.58
        proto esp spi 0xc57cfb3f reqid 7 mode tunnel
src 0.0.0.0/0 dst yy.26.199.18/32 
    dir fwd priority 383615 
    tmpl src xx.xx.124.58 dst yy.16.209.132
        proto esp reqid 7 mode tunnel
src 0.0.0.0/0 dst yy.26.199.18/32 
    dir in priority 383615 
    tmpl src xx.xx.124.58 dst yy.16.209.132
        proto esp reqid 7 mode tunnel
src ::1/128 dst ::1/128 
    dir fwd priority 68927 
src ::1/128 dst ::1/128 
    dir in priority 68927 
src ::1/128 dst ::1/128 
    dir out priority 68927 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket in priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket out priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket in priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket out priority 0 
src ::/0 dst ::/0 
    socket in priority 0 
src ::/0 dst ::/0 
    socket out priority 0 
src ::/0 dst ::/0 
    socket in priority 0 
src ::/0 dst ::/0 
    socket out priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket in priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket out priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket in priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket out priority 0 
src ::/0 dst ::/0 
    socket in priority 0 
src ::/0 dst ::/0 
    socket out priority 0 
src ::/0 dst ::/0 
    socket in priority 0 
src ::/0 dst ::/0 
    socket out priority 0

IP XFRM 정책산출VPN 하에서

src yy.26.199.18/32 dst 0.0.0.0/0 
    dir out priority 383615 
    tmpl src yy.16.209.132 dst xx.xx.124.58
        proto esp spi 0xc787ea42 reqid 2 mode tunnel
src 0.0.0.0/0 dst yy.26.199.18/32 
    dir fwd priority 383615 
    tmpl src xx.xx.124.58 dst yy.16.209.132
        proto esp reqid 2 mode tunnel
src 0.0.0.0/0 dst yy.26.199.18/32 
    dir in priority 383615 
    tmpl src xx.xx.124.58 dst yy.16.209.132
        proto esp reqid 2 mode tunnel
src fe80::/64 dst fe80::/64 
    dir fwd priority 134463 
src fe80::/64 dst fe80::/64 
    dir in priority 134463 
src fe80::/64 dst fe80::/64 
    dir out priority 134463 
src ::1/128 dst ::1/128 
    dir fwd priority 68927 
src ::1/128 dst ::1/128 
    dir in priority 68927 
src ::1/128 dst ::1/128 
    dir out priority 68927 
src yy.16.209.0/24 dst yy.16.209.0/24 
    dir fwd priority 175423 
src yy.16.209.0/24 dst yy.16.209.0/24 
    dir in priority 175423 
src yy.16.209.0/24 dst yy.16.209.0/24 
    dir out priority 175423 
src 169.254.0.0/16 dst 169.254.0.0/16 
    dir fwd priority 183615 
src 169.254.0.0/16 dst 169.254.0.0/16 
    dir in priority 183615 
src 169.254.0.0/16 dst 169.254.0.0/16 
    dir out priority 183615 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket in priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket out priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket in priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket out priority 0 
src ::/0 dst ::/0 
    socket in priority 0 
src ::/0 dst ::/0 
    socket out priority 0 
src ::/0 dst ::/0 
    socket in priority 0 
src ::/0 dst ::/0 
    socket out priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket in priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket out priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket in priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
    socket out priority 0 
src ::/0 dst ::/0 
    socket in priority 0 
src ::/0 dst ::/0 
    socket out priority 0 
src ::/0 dst ::/0 
    socket in priority 0 
src ::/0 dst ::/0 
    socket out priority 0

출력을 비교하면 VPN이 연결될 때 이 부분이 추가되었음을 알 수 있습니다.

src yy.26.199.18/32 dst 0.0.0.0/0 
    dir out priority 383615 
    tmpl src yy.16.209.132 dst xx.xx.124.58
        proto esp spi 0xc787ea42 reqid 2 mode tunnel
src 0.0.0.0/0 dst yy.26.199.18/32 
    dir fwd priority 383615 
    tmpl src xx.xx.124.58 dst yy.16.209.132
        proto esp reqid 2 mode tunnel
src 0.0.0.0/0 dst yy.26.199.18/32 
    dir in priority 383615 
    tmpl src xx.xx.124.58 dst yy.16.209.132
        proto esp reqid 2 mode tunnel

나는 많은 것을 시도했지만 운이 없었습니다.

  • Metricyy.26.199.18을 1050 및 1100으로 늘려 보세요 .
  • route del default&&ip route add default via yy.26.199.18 dev ens33
  • yy.26.199.18 경로 항목 삭제를 시도했지만 아무것도 변경되지 않았습니다.

그 밖에도 어리석은 일이 많이 있습니다.

따라서 VPN을 통해 특정 주소를 라우팅할 때 "일반 인터넷" 연결을 사용하고 싶습니다.
가능한?

답변1

강한 백조정책을 통해 구성된 정책 라우팅을 사용합니다 xfrm.

  1. dir out정책은 172.26.199.18/32오고 가는 패킷을 처리하는 방법을 지정합니다 0.0.0.0/0. 즉, 패킷을 암호화하고 VPN 터널을 통해 전송해야 합니다.
  2. dir in정책은 dir fwd암호화된 패킷이 들어올 때 수행할 작업을 지정합니다. 암호 해독 후 에서 까지의 데이터 패킷이 지정된 터널에서 나오지 0.0.0.0/0않으면 172.26.199.18/32폐기됩니다. 일반 텍스트 패킷에는 이러한 제한이 적용되지 않습니다.

VPN 네트워크 사용을 제한하려면 다음 세 가지 해결 방법이 있습니다.

  1. 이러한 규칙에 나타나는 네트워크는 IKE 서버와 원격 서버 간에 협상됩니다. NetworkManager 플러그인은 항상 your_ip/32과 사이에 터널을 설정할 것을 권장합니다 0.0.0.0/0. 원격 서버가 제안하는 경우 0.0.0.0/0결과 연결은 과 10.0.0.0/8사이가 됩니다 . 따라서 원격 끝점의 관리자에게 IKE 데몬을 올바르게 구성하도록 요청해야 합니다.your_ip/3210.0.0.0/8
  2. NetworkManager를 VPN 터널로 사용하는 것을 중단하고 설치할 수 있습니다.카론 시스템 d간단한 구성 파일(예: )을 만듭니다 /etc/swanctl/conf.d/my_vpn.conf.

    connections {
        my_vpn {
            version = 2
            local_addrs=%any
            remote_addrs=vpn********.it
            local {
                auth = eap
                eap_id = your_username
            }
            remote {
                auth = pubkey
                id = server_name
            }
            children {
                my_tunnel {
                    #local_ts = dynamic
                    remote_ts = remote_network
                }
            }
        }
    }
    

    데몬( systemctl reload strongswan-swanctl)을 다시 로드하고 다음을 실행합니다.

    swanctl --initiate --ike my_vpn --child my_tunnel
    
  3. 자동으로 설치된 정책보다 작은 값 으로 자체 정책을 추가하면 priority암호화되지 않은 트래픽을 허용합니다. 예를 들면 다음과 같습니다.

    ip xfrm policy add src your_ip/32 dst 192.0.2.0/24 \
        dir out priority 1000
    ip xfrm policy add src 192.0.2.0/24 dst your_ip/32 \
        dir in priority 1000
    

    이렇게 하면 일반 텍스트 트래픽이 도착할 수 있습니다 192.0.2.0/24.

관련 정보