Caso vuole che debba tirare su una vpn. non sono un guru ma con dedizione mi apllico e interfacciato con l’altro sistemista tiriamo su il tunnel. Dalla 192. alla 10.
Tutto a posto.
Caso vuole che i client della 192. devono potersi agganciare alla 172. passando dalla 10.
Uno scenario che non avevo ancora trovato. Dal basso delle mie poche conoscenze in materia mi viene trasparente pensare alla possibilità di sfruttare il tunnel già in piedi. Una regoletta di routing e tutto il traffico verso la 172. lo butto sulla ipsec0, verrà incapsulato e poi preso in consegna dal terminatore 10.
Niente di tutto ciò questi maledetti pacchetti dopo prove e controprove passano si per ipsec0 ma in chiaro. Lato 10. non arriva un tubo. Io amministro la 192. e mi interfaccio da giorni con l’admin della 10.
Continua a ripetermi che non arriva nulla, nessun pacchetto verso la 172. Eppure li vedevo passare con il buon tcpdump. Nei momenti di affollamento di pacchetti ESP fra le reti non riuscivo a distinguere quelli che mi interessavano. Documentazione e parte del wiki di openswan non mi hanno dato una grossa mano.
L’intuizione è stata quella di fare un salto sul canale irc dove ho trovato il mnt del wiki, tal mcr.
Si è dimostrato comprensivo e generoso nell’offrirmi una mano. Le sue due frasi più signitificative alla mia domanda “si può fare?” sono state:
no. IKE and IPsec are one tunnel per subnet. if you had multiple networks, you'd just have multiple tunnels underneath.
Facile, se vuoi collegare piu reti, crea più tunnel. EASY! grazie mcr!