Libreswan IPSec IKEv2无法连接到多个远程IP

Question

有一段时间，我一直在为这件事苦苦挣扎，我希望有人能为我指明正确的方向。

我已经建立了许多IPSec隧道，主要是从CentOS上的libreswan (v3.23)到思科ASA。大多数是IKE v1，在这种情况下，如果我想访问远程端的多个主机，我可以在我的.conf文件中使用这样的公式：

conn test1
rightsubnet=192.168.1.111/255.255.255.255
rightsourceip=192.168.1.111
also=test_common
auto=start
conn test2
rightsubnet=192.168.1.112/255.255.255.255
rightsourceip=192.168.1.112
also=test_common
auto=start

但是，如果我在IKEv2 (ikev2=insist)中使用这个语法，我可以启动test1并达到192.168.1.111，但是test2就不能完成；或者我可以启动test2，test1不能工作。

我的问题是，什么语法将允许我建立一个IKEv2隧道，让我达到192.168.1.111和192.168.1.112？

我试过使用：

conn test
rightsubnet=192.168.1.96/27
leftsubnet=192.168.2.2/32
also=test_common
auto=start

这个公式让我看到了"STATE_PARENT_I2: sent v2I2，expected v2R2“，但是接下来我得到的只是"STATE_PARENT_I2:重新传输”。

同样，我也尝试过：

conn test
rightsubnets=192.168.1.111/32,192.168.1.112/32
leftsubnet=192.168.2.2/32
also=test_common
auto=start

使用右子网指令会导致连接不启动，即使指定了单个范围。

如果有人能为我指明正确的方向，我将不胜感激。

编辑:我发现我可以使用右子网指令，但是它只会启动第一个隧道。起作用的语法是：

rightsubnets={192.168.1.111/32 192.168.1.112/32}

在本例中，可以访问192.168.1.111，但第二个地址到达"STATE_V2_CREATE_I: sent儿童req等待响应“，永远不会完成。

Answer 1

将leftsubnet更改为leftsubnets

rightsubnets={192.168.1.111/32,192.168.1.112/32}
leftsubnets={192.168.2.2/32}

同样，在我的例子中，只有在right不是%any和IKEv2的情况下，这才有效。