Есть ли способ настроить strongswan для автоматического запуска шифрования для данной подсети, а не для конкретного хоста? Например, если я знаю, что мои хосты в w.x.y.z/28
будет настроен такой же PSK. Я хотел бы настроить их все за один раз:
conn protected
left=%any
right=%any
rightsubnet=w.x.y.z/28
auto=route
forceencaps=no
type=transport
mobike=no
authby=psk
или похожие. Я не хочу указывать каждую отдельно. Я ожидал, что ловушка на маршрутах выполнит требуемый запуск по мере необходимости. Но Strongswan отказывается работать таким образом и утверждает, что installing trap failed, remote address unknown
.
Возможен ли вообще такой сценарий?
Вы должны использовать Strongswan 5.3.3 или новее.
См. Ловушку тестового случая - любой в https://github.com/strongswan/strongswan/tree/master/testing/tests/ikev2/trap-any
См. Также проблемы Strongswan https://wiki.strongswan.org/issues/878 и https://wiki.strongswan.org/issues/196
Надеюсь это поможет