我有一个 strongswan 实现,遇到了一个问题,当两个用户位于同一个 NAT 后面时,第二个用户会“启动”第一个用户。我能够使用以下方法解决该问题:
- 机器证书。
- 具有唯一用户名的 EAP-MSCHAPv2。
EAP 的问题在于用户名必须是唯一的。“Bob”和“Bill”在 NAT 后面工作正常,但是以“Bob”身份登录的两个设备会互相踢出(第二个设备可以工作,但第一个设备停止 ping 出)。每个用户都会从池中分配一个唯一的虚拟地址
这是一个问题,因为我想为数百台设备配置一个通用的用户名\密码。我确信也可以使用 PSK,但上次我尝试 PSK 时,两个具有相同 PSK 的设备会相互启动。
我更喜欢使用 IKEv2,但如果需要,也可以使用 IKEv1\L2TP。我认为这是可能的,因为 Strongswan 可以弄清楚如何使用 SPI 重新加密返回数据包。