На моем конце у меня есть установка StrongSwan, подключающаяся к IPSec VPN, размещенная на сервере OpenBSD, на котором запущен стандартный isakmpd. Ящик OpenBSD уже содержит несколько других ассоциаций, но ящик StrongSwan - новый клиент.
Учетные данные, которые у меня есть (сертификат x509), успешно использовались в Windows-боксе с TheGreenBow в качестве клиента, и я почти получил его, работая с StrongSwan. Он успешно устанавливает соединение и организует ассоциацию безопасности. Однако на самом деле через него не проходит никакой трафик - и, похоже, он не использует значение, установленное в leftsourceip. ipsec statusall дает следующее:
vpn{1}: AES_CBC_128/HMAC_SHA1_96, 0 bytes_i, 0 bytes_o, rekeying in 25 minutes
vpn{1}: 192.168.1.6/32 === 172.17.1.0/24
С участием 192.168.1.6 мой локальный IP. leftsourceip установлен на 172.18.1.97. Насколько я понимаю, 192.168.1.6/32 отображается командой status, должно быть 172.18.1.97/32 - почти как игнорирование установленного значения?
Есть ли что-нибудь еще, что может вызвать проблему?
leftsourceip используется только для динамического назначения атрибутов конфигурации (включая IP-адреса) через конфигурация режима или полезные данные конфигурации IKEv2. strongSwan не будет устанавливать этот адрес локально, если конфигурация режима не используется. В strongSwan вики есть больше об этом.
Если вы хотите использовать определенный IP-адрес внутри туннеля, просто установите его на один из локальных интерфейсов (может даже быть lo). Затем используйте этот адрес в своем leftsubnet настройка например leftsubnet=172.18.1.97/32.