https://wiki.strongswan.org/projects/strongswan/wiki/ConnSection
根据 strongSwan 文档,rightsubnet具有多个网络地址仅适用于 IKEv2。有一种常见的 (?) 解决方法,即设置多个连接,所有连接都使用相同的 SA。我们的方案是使用 Vigor 2860 作为公司 VPN 网关,所有家庭办公室等都连接到该网关。
如果我在 strongSwan 中设置多个连接,则需要在 Vigor 中定义多个 LAN 到 LAN 配置文件。根据要连接的家庭办公室,这将超过配置文件的数量。
是否有其他解决方法来实现通过隧道发送到第二个子网的流量?(路由?NATing?)
提前致谢。
答案1
如果您只需要 Vigor 后面的资源供拨入客户端进行 VPN 访问,则应在连接到网关时在客户端使用 NAT,并可能在传输模式下使用 L2TP/IPsec 来设置连接。这样,您的家庭办公室网关将连接到中央集线器,从 xl2tpd 中配置的池中获取 IP 地址,并能够访问同一 VPN 或其他路由网络中的资源。
如果您需要通过这些 VPN 连接任何两个家庭办公室,那么最好使用与 Vigor 不同的集线器端点,并在 Vigor 上为该机器启用另一个 Strongswan 安装和 VPN 直通,而不必担心该设备的配置文件限制。