Назад | Перейти на главную страницу

strongSwan: несколько подсетей прав с использованием IKEv1

https://wiki.strongswan.org/projects/strongswan/wiki/ConnSection

Согласно документации strongSwan rightsubnet с несколькими сетевыми адресами работает только с IKEv2. Существует общий (?) Обходной путь для установки нескольких подключений с использованием одной и той же SA. В нашем сценарии мы используем Vigor 2860 в качестве корпоративного шлюза VPN, к которому подключаются все домашние офисы и т. Д.

Если я настрою несколько подключений в strongSwan, мне нужно будет определить несколько профилей LAN-to-LAN в Vigor. В зависимости от домашнего офиса для подключения это может превышать количество профилей.

Есть ли другой обходной путь для передачи трафика во вторую подсеть через туннель? (Маршрутизация? NAT?)

Заранее спасибо.

Если вам нужны только ресурсы за Vigor, доступные для доступа VPN от клиентов с телефонным подключением, вам следует использовать NAT на стороне клиента при подключении к шлюзу и, вероятно, использовать L2TP / IPsec в транспортном режиме для настройки подключений. Таким образом, шлюзы вашего домашнего офиса будут подключаться к центральному концентратору, получать IP-адреса из пула, настроенного в xl2tpd, и иметь возможность доступа к ресурсам в той же VPN или других маршрутизируемых сетях.

Если вам нужно связать любые два домашних офиса через эти VPN, возможно, будет лучше, если вы будете использовать другую конечную точку концентратора, чем Vigor, вплоть до другой установки Strongswan с включенной сквозной передачей VPN на Vigor для этой машины, и не беспокоиться о том, что устройство ограничения профиля.