如何配置 strongswan(IPsec)仅为特定子网转发流量?

如何配置 strongswan(IPsec)仅为特定子网转发流量?

我需要将客户端的流量转发到特定子网(即 10.10.10.0/24)的 VPN 服务器

例如,如果客户端向 123.123.123.123 发送请求,则它们将使用自己的 Internet。如果客户端向 10.10.10.123 发送请求,则它们将使用 VPN 连接。

是否可以使用 strongswan 进行配置?目前,来自客户端的所有流量都通过 VPN 服务器代理。这是我的 strongswan 配置:

config setup
    uniqueids=no
    charondebug = ike 3, cfg 3

conn %default
    dpdaction=clear
    dpddelay=35s
    dpdtimeout=2000s

    keyexchange=ikev2
    auto=add
    rekey=no
    reauth=no
    fragmentation=yes
    compress=yes

    ### left - local (server) side
    # filename of certificate chain located in /etc/strongswan/ipsec.d/certs/
    leftcert=fullchain.pem
    leftsendcert=always
    leftsubnet=0.0.0.0/0,::/0

    ### right - remote (client) side
    eap_identity=%identity
    rightsourceip=10.10.11.0/24,2a00:1450:400c:c05::/112
    rightdns=8.8.8.8,2001:4860:4860::8888

conn ikev2-mschapv2
    rightauth=eap-mschapv2

conn ikev2-mschapv2-apple
    rightauth=eap-mschapv2
    leftid=mydomain.com

答案1

我是 VPN 配置新手。
我刚刚尝试更改leftsubnet10. 10.10.0/24,现在一切正常。只有到的流量10. 10.10.0/24被转发到 VPN 服务器。

答案2

很遗憾您不能这样做。您必须配置客户端。

我所做的是在客户端创建一个脚本,/etc/ppp/ip-up如下所示:

/sbin/route add 172.31.0.0/16 $5

$5连接后会扩展为 VPN 网关的 IP 地址

相关内容