如果我的服务器没有局域网，那么如何创建一个主机来承载IPsec虚拟专用网呢？

Question

我有一个Linux服务器(CentOS 5.5)，它可以使用固定的IP地址直接访问互联网。即IP地址为200.29.X.Y，网关由数据中心(200.29.X.Z)提供，连接工作完美。

我需要连接到另一台位于远程局域网上的机器。我们同意通过VPN来实现这一点，因此他们配置了一个隧道(使用预共享密钥的IPsec)，并提供了所有信息(对等方、加密域、阶段1属性和阶段2属性)。

问题是我的机器不在防火墙后面，而且我无法访问我的数据中心的防火墙.因此，防火墙必须在同一台计算机上创建(使用任何VPN命令行软件)。

问题是，如果我的机器有防火墙(并配置VPN)，那么对等方将是相同的加密域(即对等方和加密域的相同IP地址).

另一部分告诉我，这是错误的，使用这种配置，他们的防火墙不知道在哪里发送响应(因为加密域是同一个对等体)。

为了解决这个问题，我创建了一个名为eth0.4的虚拟以太网接口，其本地IP地址为192.160.0.4；我告诉另一部分将其配置为我的加密域，但仍然无法工作。

做一些本地测试，从内部virual地址，192.160.0.4，我不能平我的真实IP地址，200.29.X.Y (ping -I eth0.4 200.29.X.Y).我在iptable上添加了一些转发规则，但我的内部IP地址仍然不能与我的实际IP地址通信.因此，我认为这个“虚拟本地IP地址”不会解决我的问题(除非我添加了一些不正确的转发规则)。

我使用openswan来配置VPN并对oher部分进行编码，它们接收到第一阶段的详细信息，它们是正确的，但是答案有问题.因此，隧道从来没有建成(事实上，阶段我从未完成)。

010“网对网”#1: STATE_MAIN_I1:重传；将等待20 S响应。

010“网对网”#1: STATE_MAIN_I1:重传；将等待40 S作出回应。

010“网对网”#1: STATE_MAIN_I1:重传；将等待40 S作出回应。

010“网对网”#1: STATE_MAIN_I1:重传；将等待40 S作出回应。

031“网络到网络”#1:最大重传次数(20)到达STATE_MAIN_I1.对我们的第一个IKE消息没有响应(或者没有可接受的响应)

1000“网络对网络”#1:开始键盘尝试2的一个无限的数目，但释放永远.

openswan日志不给我更多的信息(它发送正确的东西，但没有响应)，tcpdump总是告诉我我发送数据包，但没有回答.

有什么建议吗？

Answer 1

如果我的理解是正确的，另一方是说他们不能将隧道终止到被配置为隧道数据的目标网络的地址。这取决于他们设备的性能--你知道是什么制造商生产的吗？

不管对远程网络定义的关注，以及它们的系统试图将隧道的ESP数据包重新放入隧道时的问题，它们甚至没有响应您的第一阶段数据包--首先需要检查这种连接性。告诉他们开始回答您的ISAKMP数据包，然后处理IPSec远程网络一旦工作。