トンネルインターフェイスを介してDNSトラフィックをリダイレクトし、他のすべてのトラフィックはカーネルルーティングテーブルを使用します。

Question

@ABのおかげで私が使用したコマンドは次のようになります。（テーブルのIDをDNSプロトコル番号[53]と同じにしました。）

ip route add table 53 0.0.0.0/0 dev vti01
ip rule add iif lo ipproto udp dport 53 lookup 53
sysctl -w net.ipv4.conf.vti01.rp_filter=2

状態を確認するには、次のコマンドを実行します。

ip route list table 53
ip rule list | grep 53

私のカスタム_updownスクリプトでこれを実装することができたので、Strongswanはトンネルが上がるか下がるたびにこれらのエントリを構築、削除、および動作します。

#!/bin/bash

set -o nounset
set -o errexit

VTI_IF="vti01"
PORT="53"
TABLE="53"

case "${PLUTO_VERB}" in
    up-client)
        ip tunnel add $VTI_IF local 2.2.1.2 remote 3.3.0.2 mode vti key 41
        ip link set $VTI_IF up
        ip addr add  172.21.0.3 dev $VTI_IF
        ip route add 172.21.0.0/29 dev $VTI_IF
        ip route add table $TABLE 0.0.0.0/0 dev $VTI_IF
        ip rule add iif lo ipproto udp dport $PORT lookup $TABLE
        sysctl -w "net.ipv4.conf.$VTI_IF.rp_filter=2"
        sysctl -w "net.ipv4.conf.$VTI_IF.disable_policy=1"
        sysctl -w "net.ipv4.conf.$VTI_IF.rp_filter=0"
        sysctl -w "net.ipv4.conf.$VTI_IF.forwarding=1"
        ;;
    down-client)
        ip rule del iif lo ipproto udp dport $PORT lookup $TABLE
        ip route del table $TABLE 0.0.0.0/0 dev $VTI_IF
        ip tunnel del $VTI_IF
        ;;
esac

その後、swanctl.confファイルからスクリプトを呼び出すと、次のようにリンクされます。サブ "updown ="の下の部分はスクリプトを呼び出す方法です。

connections {
    remote-sa {
        version = 2 
        local {
            id = 2.2.1.2
        }   
        local_addrs = 2.2.1.2
        remote_addrs = 3.3.0.2
        proposals = aes256-sha256-ecp384
        local {
            auth = psk 
        }   
        remote {
            auth = psk 
        }   
        children {
            remote-sa-child {
                local_ts = 172.21.0.0/29
                remote_ts = 0.0.0.0/0
                mark_in = 41
                mark_out = 41
                esp_proposals = aes256-sha256-ecp384
                updown = /opt/_updown_vti01 iptables
                start_action = start
                close_action = start
            }
        }
    }   
}

Answer 1

@ABのおかげで私が使用したコマンドは次のようになります。（テーブルのIDをDNSプロトコル番号[53]と同じにしました。）

ip route add table 53 0.0.0.0/0 dev vti01
ip rule add iif lo ipproto udp dport 53 lookup 53
sysctl -w net.ipv4.conf.vti01.rp_filter=2

状態を確認するには、次のコマンドを実行します。

ip route list table 53
ip rule list | grep 53

私のカスタム_updownスクリプトでこれを実装することができたので、Strongswanはトンネルが上がるか下がるたびにこれらのエントリを構築、削除、および動作します。

#!/bin/bash

set -o nounset
set -o errexit

VTI_IF="vti01"
PORT="53"
TABLE="53"

case "${PLUTO_VERB}" in
    up-client)
        ip tunnel add $VTI_IF local 2.2.1.2 remote 3.3.0.2 mode vti key 41
        ip link set $VTI_IF up
        ip addr add  172.21.0.3 dev $VTI_IF
        ip route add 172.21.0.0/29 dev $VTI_IF
        ip route add table $TABLE 0.0.0.0/0 dev $VTI_IF
        ip rule add iif lo ipproto udp dport $PORT lookup $TABLE
        sysctl -w "net.ipv4.conf.$VTI_IF.rp_filter=2"
        sysctl -w "net.ipv4.conf.$VTI_IF.disable_policy=1"
        sysctl -w "net.ipv4.conf.$VTI_IF.rp_filter=0"
        sysctl -w "net.ipv4.conf.$VTI_IF.forwarding=1"
        ;;
    down-client)
        ip rule del iif lo ipproto udp dport $PORT lookup $TABLE
        ip route del table $TABLE 0.0.0.0/0 dev $VTI_IF
        ip tunnel del $VTI_IF
        ;;
esac

その後、swanctl.confファイルからスクリプトを呼び出すと、次のようにリンクされます。サブ "updown ="の下の部分はスクリプトを呼び出す方法です。

connections {
    remote-sa {
        version = 2 
        local {
            id = 2.2.1.2
        }   
        local_addrs = 2.2.1.2
        remote_addrs = 3.3.0.2
        proposals = aes256-sha256-ecp384
        local {
            auth = psk 
        }   
        remote {
            auth = psk 
        }   
        children {
            remote-sa-child {
                local_ts = 172.21.0.0/29
                remote_ts = 0.0.0.0/0
                mark_in = 41
                mark_out = 41
                esp_proposals = aes256-sha256-ecp384
                updown = /opt/_updown_vti01 iptables
                start_action = start
                close_action = start
            }
        }
    }   
}

トンネルインターフェイスを介してDNSトラフィックをリダイレクトし、他のすべてのトラフィックはカーネルルーティングテーブルを使用します。

ベストアンサー1

おすすめ記事