如何将服务器主机纳入 strongswans 虚拟 IP 地址子网

如何将服务器主机纳入 strongswans 虚拟 IP 地址子网

我已经使用 strongswan 配置了 VPN 服务器和 VPN 客户端,其 ipsec.conf 配置设置如下

服务器 ipsec.conf

conn ikev2-vpn
    also=rw-base
    auto=add
    compress=no
    keyexchange=ikev2
    forceencaps=yes
    rekey=no
    
    left=%any
    leftid=@xxxx
    leftcert=fullchain.pem
    leftsubnet=10.0.3.0/24
    #lefthostaccess=yes
    leftfirewall=yes
    
    right=%any
    rightid=%any
    rightauth=eap-mschapv2
    rightsourceip=10.0.3.0/24
    rightsendcert=never
    eap_identity=%identity

以下是客户端配置(ipsec.conf)

# client
conn con100
    left=%defaultroute
    compress=no
    leftfirewall=yes
    leftauth=eap-mschapv2
    leftsubnet=10.0.3.0/24
    leftsourceip=%config
    eap_identity="user"

    right=xxxx
    rightauth=pubkey
    rightid=%xxx
    rightsubnet=10.0.3.0/24
    type=tunnel
    auto=add

一旦客户端成功连接,它只能通过 IP 10.0.3.1 访问自身。正如预期的那样,由于“leftsubnet=10.0.3.0/24”,它无法使用任何其他路由(外部)

但我希望服务器(提供 VPN 连接“ikev2-vpn”)上运行的服务可以在连接到 VPN 的客户端上使用。

由于没有网络接口(如 ipsec0 或类似的接口),我不知道如何实现这一点。

已经尝试创建一个新的 iface,其 IP 地址为“10.0.3.254”,但它似乎与 VPN 连接/策略隔离

答案1

我已经通过在服务器上添加一个 CDIR 为 10.0.2.0/24 且 IP 地址为 10.0.2.1 的附加网络接口并将相关服务(如 DNS)绑定到它来解决这个问题。

然后我将“leftsubnet”配置为包含 10.0.2.0/24。因此我可以使用“rightdns=10.0.2.1”从服务器提供内部 DNS 服务。

相关内容