ipsec(strongswan)接続は機能しており、それ自体はうまく機能しますが、コンテナからのトラフィックはipsecトンネルを通過しないようです。エンドユーザーの観点から見ると、これは ipsec が分割トンネリングではないため、望ましくありません。
#ipsec.conf
config setup
conn %default
ikelifetime=28800s
keylife=12h
rekeymargin=3m
keyingtries=1
keyexchange=ikev1
conn worldstream
ike = aes256-sha1-modp1024
esp = aes256-sha1!
xauth=client
[email protected]
leftauth=psk
leftauth2=xauth
leftsourceip=%config
right=office.acme.com
rightid=%any
rightauth=psk
auto=add
rightsubnetwithin=0.0.0.0/0
私も使っています。バイパスLANStrongswanのプラグイン。
答え1
答え2
コンテナにCAP_NET_ADMIN機能を提供すると機能します(参照:クラウドプラットフォームでStrongSwanを実行する)。
これは、dockerまたはdocker-compose--cap-add=NET_ADMIN
でフラグを使用することを意味します。cap_add: - NET_ADMIN
これはStrongswanにもこの機能があると仮定します(基本的にはあるようです)。