Openswan 配置选项“virtual_private”的作用是什么?

Openswan 配置选项“virtual_private”的作用是什么?

据我了解,virtual_private配置选项声明应允许哪些子网通过隧道以及应排除哪些子网。例如,如果我有以下配置:

virtual_private=%v4:10.6.100.0/24,%v4:!192.168.11.0/24,%v4:10.10.0.254/24

..然后根据ipsec auto --status命令 10.6.100.0/24 和 10.10.0.0/24 网络是允许的,而 192.168.11.0/24 是不允许的:

000 virtual_private (%priv):
000 - allowed 2 subnets: 10.6.100.0/24, 10.10.0.0/24
000 - disallowed 1 subnet: 192.168.11.0/24
000

这个允许和不允许是什么意思?这背后意味着什么?是否创建了一些路线?它会影响某些 xfrm 框架政策吗?

答案1

服务器端的此设置用于指定当客户端位于客户端连接的 NAT 路由器后面时客户端可以访问哪个网络。通常您将禁用客户端所在的网络。

该值通常设置为所有 RFC-1918 地址空间,不包括 NAT 后面的本地子网中使用的空间(一个 IP 地址不能同时存在于两个地方)。

相关内容