در گذشته تعداد کمی سایت را برای نصب تونل های GRE پیکربندی کرده ام. اما اکنون من نیاز به پیکربندی تونل نوع VTI دارم ، زیرا AWS VPC فقط از آن پشتیبانی می کند.
طبق اسناد Strongswan همه چیز کاملاً واضح است: هنگام ایجاد تونل باید از MARK ها استفاده کنیم: https://wiki.strongswan.org / پروژه ها / strongswan / ویکی / RouteBasedVPN برای شناسایی اینکه چه ترافیکی باید تنظیم شود. یک علامت در ipsec.conf وجود دارد و علامت دیگر هنگام ایجاد تونل vti مشخص شده است:
{PLUTO_MARK_IN_ARR [0]} دلار
$ IP addr اضافه کردن $ {VTI_LOCALADDR} از راه دور $ {VTI_REMOTEADDR} توسعه $ {VTI_INTERFACE}
پیوند $ IP تنظیم $ {VTI_INTERFACE} تا mtu 1436
و این مثر است. اما بسیاری از راهنماهای دیگر نشان می دهد که باید برخی ورودی ها را در iptables با همان علائم ایجاد کنیم:
$ IPTABLES -t mangle -I INPUT -p esp -s $ {PLUTO_PEER} -d $ {PLUTO_ME} -j MARK- -set-xmark $ {PLUTO_MARK_IN}
بسیار جالب است – واقعاً لازم است؟ در پیکربندی VTI سایت به سایت؟ چون می بینم که همه چیز بدون این ورودی منگوله کار می کند. چرا دیگران از آن استفاده می کنند؟ با تشکر