Назад | Перейти на главную страницу

Есть ли расширение хоста для хоста ipsec для конфигурации «многие-многие»?

Имея типичную конфигурацию ipsec в транспортном режиме между хостами,

conn appserver01-to-swift01
    leftid=@appserver01.server.com
    left=10.133.176.246
    leftrsasigkey=xxxxxxxxxxxxxxxxxxxxxxxx
    rightid=@swift01.server.com
    right=10.133.176.111
    authby=rsasig
    rightrsasigkey=xxxxxxxxxxxxxxxxxxxxxxx
    # load and initiate automatically
    auto=start

Есть ли способ сделать это соединение "многие к одному / многие ко многим"? У меня есть несколько хостов в одной локальной сети, и я использовал это для получения зашифрованного трафика между двумя хостами, если я добавлю больше хостов, мне нужно будет добавить больше хостов на хост или это возможно:

conn mytunnel
     left=192.168.56.120
     leftcert=leftcert.pem
     right=%any
     rightrsasigkey=%cert
     rightca="C=KE, O=Mycompany, OU=mydepartment, CN=*"
     auto=add

используя аутентификацию сертификата? я пробовал что-то подобное, но правильно говорит

We cannot identify ourselves with either end of this connection.

и слева говорит:

 cannot initiate connection without knowing peer IP address

из некоторой документации, которую я видел (см. right =% любой), я думал, что это возможно, но после попыток и неудач я подумал, что это невозможно, Красная Шапка, так возможно ли, чтобы единственная конфигурация принимала любого клиента, который представляет действительный сертификат x.509, независимо от его IP-адреса? все адреса являются частными, и все машины в значительной степени эквивалентны.

аналогичный вопрос задавался ранее в каком-то списке рассылки, но я не смог найти на него публичного ответа (списки .openswan. org /pipermail/users/2015-March/023294.html)