Configurei uma configuração de host para host na qual quero que apenas o IP do servidor fique exposto para que qualquer pessoa conectada à VPN possa se comunicar com os serviços naquele servidor.
connections {
rw {
pools = rw_pool
send_cert = always
unique = no
fragmentation=yes
local {
auth = pubkey
certs = [CERT].pem
id = [ID]
}
remote {
auth = eap-mschapv2
eap_id = %any
}
children {
rw {
local_ts = [WAN IP OF SERVER]
esp_proposals = chacha20poly1305-sha512, aes256gcm16-ecp384,aes256-sha256,aes256-sha1,3des-sha1
}
}
send_certreq = no
}
}
A conexão funciona e as solicitações estão de fato vindo de um intervalo de IP selecionado pela VPN. No entanto, como estou mirando no IP externo, isso ainda não rotearia o tráfego por um canal não seguro após a saída do IP?
Configuração do cliente:
connections {
home {
version=2
remote_addrs = [SERVER ADDR]
vips = 0.0.0.0
local {
auth = eap-mschapv2
eap_id = [ID]
}
remote {
auth = pubkey
id = [SERVER ID]
}
children {
home {
remote_ts = [WAN IP OF SERVER]
local_ts = dynamic
#remote_ts = 10.10.10.0/24
start_action = start
}
}
}
}
Uma segunda pergunta menor: como você faria uma configuração de host para site, onde meu servidor é uma entidade única em sua rede, mas o outro lado é um roteador fortigate com uma rede maior por trás dele, essa configuração funcionaria?
Agradecemos antecipadamente pelo esforço!
EDIT: Problema de IP resolvido usando ip para criar uma interface tun0 e usando isso como local_ts