Назад | Перейти на главную страницу

Может ли ikev2 VPN выполнять автоматическую настройку маршрута для клиента во время подключения?

Мы настроили VPN-сервер ikev2 с этим руководство, все работает. Единственная проблема в том, что мы не хотим, чтобы клиент маршрутизировал весь трафик с помощью этой VPN, а только определенные IP-адреса.

Итак, можно ли настроить для клиента автоматически ip-адрес "173.194.44.71, 173.194.44.65" и т.д.?

В терминологии strongswan «левый» - это сервер, а «правый» - это клиент. "leftsubnet" - это то, что вы хотите изменить. «0.0.0.0/0» соответствует всему Интернету, поэтому любой подключающийся клиент будет пытаться отправить любой связанный с Интернетом трафик через VPN-соединение, что, очевидно, не то, что вам нужно.

Вы можете маршрутизировать несколько IP-адресов на стороне сервера, определив их как отдельные блоки conn и полностью удалив строку leftsubnet (или сузив ее определение) ...

conn ikev2-vpn-1
left=%any
leftid=173.194.44.71/32
leftcert=/etc/ipsec.d/certs/vpn-server-cert.pem
leftsendcert=always
right=%any
rightid=%any
rightauth=eap-mschapv2
rightdns=8.8.8.8,8.8.4.4
rightsourceip=10.10.10.0/24
rightsendcert=never
eap_identity=%identity

conn ikev2-vpn-2
left=%any
leftid=173.194.44.65/32
leftcert=/etc/ipsec.d/certs/vpn-server-cert.pem
leftsendcert=always
right=%any
rightid=%any
rightauth=eap-mschapv2
rightdns=8.8.8.8,8.8.4.4
rightsourceip=10.10.10.0/24
rightsendcert=never
eap_identity=%identity

Блокам определенно не нужно все это, но у меня нет коробки для игры, но идея в этом. Любой подключающийся клиент получит IP-адрес от 10.10.10.0/24 и маршрут к 173.194.44.65/32 и 173.194.44.71/32 через VPN и будет использовать уже существующие маршруты для всего остального ...

Надеюсь, это поможет.