Имея типичную конфигурацию ipsec в транспортном режиме между хостами,
conn appserver01-to-swift01
leftid=@appserver01.server.com
left=10.133.176.246
leftrsasigkey=xxxxxxxxxxxxxxxxxxxxxxxx
rightid=@swift01.server.com
right=10.133.176.111
authby=rsasig
rightrsasigkey=xxxxxxxxxxxxxxxxxxxxxxx
# load and initiate automatically
auto=start
Есть ли способ сделать это соединение "многие к одному / многие ко многим"? У меня есть несколько хостов в одной локальной сети, и я использовал это для получения зашифрованного трафика между двумя хостами, если я добавлю больше хостов, мне нужно будет добавить больше хостов на хост или это возможно:
conn mytunnel
left=192.168.56.120
leftcert=leftcert.pem
right=%any
rightrsasigkey=%cert
rightca="C=KE, O=Mycompany, OU=mydepartment, CN=*"
auto=add
используя аутентификацию сертификата? я пробовал что-то подобное, но правильно говорит
We cannot identify ourselves with either end of this connection.
и слева говорит:
cannot initiate connection without knowing peer IP address
из некоторой документации, которую я видел (см. right =% любой), я думал, что это возможно, но после попыток и неудач я подумал, что это невозможно, Красная Шапка, так возможно ли, чтобы единственная конфигурация принимала любого клиента, который представляет действительный сертификат x.509, независимо от его IP-адреса? все адреса являются частными, и все машины в значительной степени эквивалентны.
аналогичный вопрос задавался ранее в каком-то списке рассылки, но я не смог найти на него публичного ответа (списки .openswan. org /pipermail/users/2015-March/023294.html)