Как я могу назначить статические IP-адреса клиентам strongSwan на основе их сертификатов?

Есть несколько вариантов назначения статического виртуальные IP-адреса:

• Если аутентификация выполняется через RADIUS, это возможно назначать виртуальные IP-адреса и другие атрибуты клиентам также. Для виртуальных IP-адресов, которые выполняются через Framed-IP [v6] -Address Атрибуты RADIUS.
• В плагин attr-sql опционально сопоставляет идентификаторы с арендой статических адресов (настраивается через пул ipsec утилита).
• В плагин dhcp может использоваться, если charon.plugins.dhcp.identity_lease включен, и статическая аренда настроена на соответствующем DHCP-сервере для клиентов. Сопоставление может быть выполнено с помощью параметра DHCP для идентификации клиента (отправляемого с версии 5.6.3) или с помощью виртуальных MAC-адресов, основанных на хеш-идентификаторе клиента.
• Настройте отдельные записи подключения с одним пулом IP-адресов и статическими удаленными идентификаторами, чтобы они сопоставлялись с идентификаторами клиентов. Однако сделать это с аутентификацией EAP в настоящее время непросто (см. этот ответ).

Самый гибкий способ сделать это - использовать RADIUS-сервер. Подробный пример конфигурации вы можете найти в вики Strongswan