https://www.opennet.ru/openforum/vsluhforumID1/97292.html Доброго дня, коллеги.<br><br>Возникла проблема при конфигурировании сервиса VPN OpenSwan для site-to-site взаимодействия.<br>Суть проблемы: Стартует демон ipsec, создаётся адаптер, но у адаптера нет атрибутов IP, соответственно, нормальная работа с адаптером невозможна.<br>Вот что показывает ifconfig:<br>[code][root@localhost ~]# ifconfig -a<br>ip_vti0: flags=128&lt;NOARP&gt; mtu 1480<br> tunnel txqueuelen 1 (IPIP Tunnel)<br> RX packets 0 bytes 0 (0.0 B)<br> RX errors 0 dropped 0 overruns 0 frame 0<br> TX packets 0 bytes 0 (0.0 B)<br> TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0<br>[/code]<br><br>Конфигурационные файлы OpenSwan:<br>[b]cat /etc/ipsec.conf[/b]<br>[code]config setup<br> plutodebug=all<br> plutostderrlog=/var/log/pluto.log<br> protostack=netkey<br> nat_traversal=yes<br> oe=off<br><br>conn MY_CONN<br> type=tunnel ## указываем что тип соединения туннель ##<br> auto=start ## автоматически поднимать соединение ##<br> authby=secret ## указываем ч https://www.opennet.ru/openforum/vsluhforumID1/97292.html#1 Sat, 06 Oct 2018 08:40:31 GMT <br>1) <br><br>&gt;Вопрос: почему у созданного адаптера нет атрибутов IP?<br><br>Хз как там в OpenSwan, я конкретно его не помню когда ставил, но есть несколько инсталляций StrongSwan.<br><br>Так вот, для того, чтобы организовать site-to-site при "type=tunnel" никаких интерфейсов ("адаптеров") не требуется, соответственно на них не требуется IP-адресов.<br><br>Ядро линукса производит перехват трафика, для этого устанавливаются политики (см "ip xfrm policy").<br>Дальше трафик шифруется и отправляется в сторону "right" ("left").<br><br>2) <br><br>&gt;На сервере настроен роутинг:<br>&gt;<br>&gt;iptables -t nat -A POSTROUTING -s X.X.X.X -d 172.22.22.0/24 -j SNAT --to 172.27.218.155<br><br>Если вы не отличаете роутинг от NAT, то с IPSEC у вас будут нехилые сложности.<br><br>NAT в site-to-site как бы не нужен, на то он и site-to-site.<br>