strongSwan:使用IKEv1的多个右子网

Question

https://wiki.strongswan.org/projects/strongswan/wiki/ConnSection

根据strongSwan文档，多个网络地址的rightsubnet只适用于IKEv2。有一个共同的(?)解决办法是设置多个连接，所有连接都使用相同的SA。我们的场景是，我们使用一个活力2860作为公司VPN网关，所有家庭办公室等连接。

如果我在strongSwan中设置了多个连接，那么我需要在活力中定义多个LAN到LAN配置文件。取决于要连接的家庭办公室，这将超过配置文件的数量。

是否有另一个解决办法来实现通过隧道发送到第二个子网的流量？(路由？NATing?)

提前谢谢。

Answer 1

如果您只需要从拨号客户端访问VPN可用的资源，那么在连接到网关时，应该在客户端使用NAT，并可能在传输模式中使用L2TP/IPsec来建立连接。这样，您的家庭办公室的网关将连接到中央集线器，从配置在xl2tpd中的池中获取IP地址，并能够访问同一VPN或其他路由网络中的资源。

如果您需要通过这些VPN连接任何两个家庭办公室，那么使用不同的集线器端点可能会比使用device更好，直到另一个Strongswan安装时，在该机器的活力上启用了VPN通道，而不必担心该设备的配置文件限制。