IKEV2配置文件IP池

Question

我在使用IKEV2配置虚拟专用网时遇到了一些问题。这是我的服务器配置文件

config setup

    #  Uncomment to allow few simultaneous connections with one user account.
    #  By default only one active connection per user allowed.
    # uniqueids=no

    # Increase debug level
    # charondebug = ike 3, cfg 3

conn %default

    # More advanced ciphers. Uncomment if you need it.
    # Default ciphers will works on most platforms.
    # ike=aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!
    # esp=aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1-modp2048,aes128-sha1-modp1024,3des-sha1-modp1024,aes128-aes256-sha1-sha256,aes128-sha1,3des-sha1!

    # Dead peer detection will ping clients and terminate sessions after timeout
    dpdaction=clear
    dpddelay=35s
    dpdtimeout=2000s

    keyexchange=ikev2
    auto=add
    rekey=no
    reauth=no
    fragmentation=yes
    #compress=yes

    # left - local (server) side
    leftcert=mydomain.net.crt # Filename of certificate located at /etc/ipsec.d/certs/
    leftsendcert=always
    # Routes pushed to clients. If you don't have ipv6 then remove ::/0
    leftsubnet=0.0.0.0/0

    # right - remote (client) side
    eap_identity=%identity
    # ipv4 and ipv6 subnets that assigns to clients. If you don't have ipv6 then remove it
    rightsourceip=192.168.0.0/24
    rightdns=192.168.0.1,8.8.8.8

# Windows and BlackBerry clients usually goes here
conn ikev2-mschapv2
    rightauth=eap-mschapv2

# Apple clients usually goes here
conn ikev2-mschapv2-apple
    rightauth=eap-mschapv2
    leftid=mydomain.net

问题是我已经指定了rightsourceip=192.168.0.0/24，所以每个新客户端都将在这个网络中获得IP，但是当然我已经在本地网络中有了计算机。

当我试图连接到我的VPN时，它会连接，但是客户端获得192.168.0.1 IP地址，即路由器IP。

此外，我有另一个设备和个人电脑在这个网络，所以客户端将得到现有的IP问题将发生。

我的路由器充当DHCP服务器，IP为192.168.0.1。

我试图搜索适当的IP池配置，但没有找到任何信息。

我不确定这是否可能，但如果我可以将IP地址租赁路由到我的路由器，而不是通过VPN服务器租赁地址(据我猜测，请纠正我的错误)，这将是很好的。

请帮我解决这个问题。谢谢。

Answer 1

您有几个选项，这些选项在strongSwan的转发与分流隧道 wiki页面中也有描述：

1. 为虚拟IP配置一个不同的子网(例如，192.168.100.0/24)，然后选择正确地路由通信量(因此服务器局域网中的主机不会将寻址到该子网的数据包发送到它们的默认网关，而是发送到VPN服务器)或NAT客户端的通信量到服务器自己的IP地址(因此在其他主机看来，流量来自于VPN服务器，它们可以很容易地响应它)。
2. 从192.168.0.0/24号子网中分配您为此保留的地址，而不用于服务器局域网中的其他主机(例如，192.168.0.192/26，如果该地址足够大且超出DHCP范围，并且不用于静态分配的地址)。
3. 使用dhcp插件从现有的DHCP服务器为客户端请求192.168.0.0/24中的虚拟IP。

后两个选项需要使用farp插件，因为您要从服务器端的主机所连接的同一子网分配IP。