racoon 纯 IPSEC VPN，在 VPN 上为 VPN 服务器提供 IP 地址的最佳方式？

我们正在测试用于 DR 的 VPN 服务器。我们有一个 rackspace 云实例，其中有一个在 racoon 中运行的纯 IPSEC VPN 服务器，为“road warrior”客户端提供服务。我们在服务器上进行了一些 NAT 以进行外部路由：

-A POSTROUTING -s 172.31.31.0/24 -o eth0 -j SNAT --to-source w.x.y.z

运行效果非常好，可以与 Windows、Apple-iOS 和 Android 客户端完美连接。

我们想要做的是将服务器设置为仅在 VPN 上托管一些网页，即服务器在 VPN 上有一个 IP。我们可以使用虚拟专用网络，连接到公共 IP，但这似乎有点小题大做。

有没有办法我们可以使用 racoon 或者环回接口来做到这一点？

我们的（测试）浣熊配置：

path pre_shared_key "/etc/racoon/psk.txt";

remote anonymous {
        ph1id 1;
        exchange_mode aggressive,main;
        my_identifier user_fqdn "redacted";
        peers_identifier keyid tag "blah";
        dpd_delay 20;
        ike_frag on;
        nat_traversal on;
        passive on;
        initial_contact off;
        generate_policy unique;
        proposal_check claim;
        lifetime time 24 hour;
        mode_cfg on;
        verify_cert off;

        proposal {
                encryption_algorithm aes;
                hash_algorithm sha1;
                #hash_algorithm md5;
                authentication_method xauth_psk_server;
                dh_group 2;
        }
}

sainfo anonymous {
        remoteid 1;
        lifetime time 12 hour;
        encryption_algorithm aes,3des,blowfish;
        authentication_algorithm hmac_sha1,hmac_md5;
        compression_algorithm deflate;
}

mode_cfg {
        network4 172.31.31.1;
        pool_size 100;
        netmask4 255.255.255.0;
        dns4 8.8.8.8;
        auth_source pam;
        save_passwd on;
}