据我了解,virtual_private
配置选项声明应允许哪些子网通过隧道以及应排除哪些子网。例如,如果我有以下配置:
virtual_private=%v4:10.6.100.0/24,%v4:!192.168.11.0/24,%v4:10.10.0.254/24
..然后根据ipsec auto --status
命令 10.6.100.0/24 和 10.10.0.0/24 网络是允许的,而 192.168.11.0/24 是不允许的:
000 virtual_private (%priv):
000 - allowed 2 subnets: 10.6.100.0/24, 10.10.0.0/24
000 - disallowed 1 subnet: 192.168.11.0/24
000
这个允许和不允许是什么意思?这背后意味着什么?是否创建了一些路线?它会影响某些 xfrm 框架政策吗?
答案1
服务器端的此设置用于指定当客户端位于客户端连接的 NAT 路由器后面时客户端可以访问哪个网络。通常您将禁用客户端所在的网络。
该值通常设置为所有 RFC-1918 地址空间,不包括 NAT 后面的本地子网中使用的空间(一个 IP 地址不能同时存在于两个地方)。