子网内的 Strongswan 传输模式 ipsec

子网内的 Strongswan 传输模式 ipsec

有没有办法配置 strongswan 自动启动对给定子网而不是特定主机的加密?例如,如果我知道我的主机w.x.y.z/28将配置相同的 PSK。我想一次性配置所有这些:

conn protected
    left=%any
    right=%any
    rightsubnet=w.x.y.z/28
    auto=route
    forceencaps=no
    type=transport
    mobike=no
    authby=psk

或类似。我想避免单独指定每一个。我期望路由上的陷阱能够根据需要进行所需的启动。但 strongswan 拒绝以这种方式工作并声称installing trap failed, remote address unknown

这种情况有可能发生吗?

答案1

您必须使用 Strongswan 5.3.3 或更高版本。

参见测试用例 trap-anyhttps://github.com/strongswan/strongswan/tree/master/testing/tests/ikev2/trap-any

另请参阅 Strongswan 问题 https://wiki.strongswan.org/issues/878https://wiki.strongswan.org/issues/196

希望这可以帮助

相关内容