主机到主机 ipsec 是否有扩展到多对多配置?

主机到主机 ipsec 是否有扩展到多对多配置?

具有典型的主机到主机传输模式 ipsec 配置,

conn appserver01-to-swift01
    [email protected]
    left=10.133.176.246
    leftrsasigkey=xxxxxxxxxxxxxxxxxxxxxxxx
    [email protected]
    right=10.133.176.111
    authby=rsasig
    rightrsasigkey=xxxxxxxxxxxxxxxxxxxxxxx
    # load and initiate automatically
    auto=start

有没有办法使其成为多对一/多对多连接?我在同一个局域网上有多个主机,我用它来获取两个主机之间的加密流量,如果我添加更多主机,是否需要添加更多主机到主机,或者是否可以执行以下操作:

conn mytunnel
     left=192.168.56.120
     leftcert=leftcert.pem
     right=%any
     rightrsasigkey=%cert
     rightca="C=KE, O=Mycompany, OU=mydepartment, CN=*"
     auto=add

使用证书身份验证?我尝试过类似这样的方法,但正确的是

We cannot identify ourselves with either end of this connection.

左边说:

 cannot initiate connection without knowing peer IP address

从我看到的一些文献中(参见右=%任意),我认为这是可能的,但尝试失败后,我认为这是不可能的, 红帽那么,是否可以让单一配置接受任何提供有效 x.509 证书的客户端,而不管其 IP 地址如何?所有地址都是私有的,所有机器几乎都是等效的。

之前在某些邮件列表中已经询问过类似的问题,但我找不到任何公开的回复(列表 .openswan. org /pipermail/users/2015-March/023294.html)

相关内容