Назад | Перейти на главную страницу

IPsec в транспортном режиме Strongswan внутри подсети

Есть ли способ настроить strongswan для автоматического запуска шифрования для данной подсети, а не для конкретного хоста? Например, если я знаю, что мои хосты в w.x.y.z/28 будет настроен такой же PSK. Я хотел бы настроить их все за один раз:

conn protected
    left=%any
    right=%any
    rightsubnet=w.x.y.z/28
    auto=route
    forceencaps=no
    type=transport
    mobike=no
    authby=psk

или похожие. Я не хочу указывать каждую отдельно. Я ожидал, что ловушка на маршрутах выполнит требуемый запуск по мере необходимости. Но Strongswan отказывается работать таким образом и утверждает, что installing trap failed, remote address unknown.

Возможен ли вообще такой сценарий?

Вы должны использовать Strongswan 5.3.3 или новее.

См. Ловушку тестового случая - любой в https://github.com/strongswan/strongswan/tree/master/testing/tests/ikev2/trap-any

См. Также проблемы Strongswan https://wiki.strongswan.org/issues/878 и https://wiki.strongswan.org/issues/196

Надеюсь это поможет