我已经使用 strongswan 配置了 VPN 服务器和 VPN 客户端,其 ipsec.conf 配置设置如下
服务器 ipsec.conf
conn ikev2-vpn
also=rw-base
auto=add
compress=no
keyexchange=ikev2
forceencaps=yes
rekey=no
left=%any
leftid=@xxxx
leftcert=fullchain.pem
leftsubnet=10.0.3.0/24
#lefthostaccess=yes
leftfirewall=yes
right=%any
rightid=%any
rightauth=eap-mschapv2
rightsourceip=10.0.3.0/24
rightsendcert=never
eap_identity=%identity
以下是客户端配置(ipsec.conf)
# client
conn con100
left=%defaultroute
compress=no
leftfirewall=yes
leftauth=eap-mschapv2
leftsubnet=10.0.3.0/24
leftsourceip=%config
eap_identity="user"
right=xxxx
rightauth=pubkey
rightid=%xxx
rightsubnet=10.0.3.0/24
type=tunnel
auto=add
一旦客户端成功连接,它只能通过 IP 10.0.3.1 访问自身。正如预期的那样,由于“leftsubnet=10.0.3.0/24”,它无法使用任何其他路由(外部)
但我希望服务器(提供 VPN 连接“ikev2-vpn”)上运行的服务可以在连接到 VPN 的客户端上使用。
由于没有网络接口(如 ipsec0 或类似的接口),我不知道如何实现这一点。
已经尝试创建一个新的 iface,其 IP 地址为“10.0.3.254”,但它似乎与 VPN 连接/策略隔离
答案1
我已经通过在服务器上添加一个 CDIR 为 10.0.2.0/24 且 IP 地址为 10.0.2.1 的附加网络接口并将相关服务(如 DNS)绑定到它来解决这个问题。
然后我将“leftsubnet”配置为包含 10.0.2.0/24。因此我可以使用“rightdns=10.0.2.1”从服务器提供内部 DNS 服务。