使用以下 ipsec.conf 配置:
conn %default
ikelifetime=60m
keylife=20m
keyingtries=3
rekeymargin=3m
keyexchange=ikev2
esp=aes-aes256-sha-modp1024,aes256-sha512-modp4096
ike=aes-aes256-sha-modp1024,aes256-sha512-modp4096
leftcert=servercert.pem
leftid=server.strongswan.org
lefthostaccess=yes
leftfirewall=yes
conn roadwarrior
left=%any
right=%any
leftsubnet=0.0.0.0/0
rightsourceip=%dhcp
auto=add
当客户端从 NAT 后面连接(例如私有 IP 范围,例如 192.168.1.0/24)时,它的本地路由(在 192.xxx 范围内)不再工作,因为它是通过隧道转发的(网关不知道)关于外部专用网络)。
问题是——如何让所有流量都通过隧道除了对于客户自己的网络。