+----------+ +-------+ Client 1 | +--------------+ +---------------+ +----------+ +------------+ | +----------+ | Web Server +-------------+ Cisco ASA5585 +---------+ Internet +-----------+ StrongSwan +--------+ IP: 10.2.0.1 +--------------+ +---------------+ +----------+ +------------+ | | +----------+ +-------+ Client 2 | Internal Web server External IP: 1.1.1.1 External IP: 2.2.2.2 +----------+ https://some.webservice.net Internal IP: 10.1.0.1 IP: 10.3.0.1 192.168.0.1:443 客户端1和客户端2位于不同的/ 20个子网中,需要通过主机访问远端的内网服务器,以承载StrongSwan服务器和远端Cisco ASA设备之间的IPSEC VPN隧道。
我们对远程方面没有任何控制权。
我们有适当的路由允许客户端1和客户端2到达StrongSwan服务器。
我们已经在StrongSwan服务器和Cisco ASA设备之间build立了隧道。
我们在StrongSwan服务器上启用了IP转发function。
我试图找出是否可以使用iptunnel伪装客户端1和2作为StrongSwan服务器本身,以便允许他们访问隧道远端的内部Web服务器。
简单的方法来连接到Web服务器来形成StrongSwan机器将安装一个像squid一样的代理,并从客户端使用它,而不是直接连接到Web服务器。
根据客户希望在Web服务器上访问什么types的资源,一个fullblown鱿鱼可能是矫枉过正的。 如果只有端口443,并且您不需要StronSwan上的端口443用于其他目的,则可以在StrongSwan上使用xinetd redirect选项。 这将使得你的客户端中的etc / hosts条目是必要的,否则Webserver的证书将被拒绝,因为明显的名称不匹配。 还有其他的TCP代理而不是xinetdredirect,但你明白了。