Как настроить strongswan (IPsec) для пересылки трафика только для определенной подсети?
Мне нужно перенаправлять трафик с клиентов на VPN-сервер только для определенной подсети, т.е. 10.10.10.0/24
Например, если клиенты отправляют запросы на 123.123.123.123, то они будут использовать свой собственный Интернет. Если клиенты отправляют запросы на 10.10.10.123, они будут использовать VPN-соединение.
Можно ли настроить с strongswan? Прямо сейчас весь трафик от клиентов передается через VPN-сервер. Вот моя конфигурация strongswan:
config setup
uniqueids=no
charondebug = ike 3, cfg 3
conn %default
dpdaction=clear
dpddelay=35s
dpdtimeout=2000s
keyexchange=ikev2
auto=add
rekey=no
reauth=no
fragmentation=yes
compress=yes
### left - local (server) side
# filename of certificate chain located in /etc/strongswan/ipsec.d/certs/
leftcert=fullchain.pem
leftsendcert=always
leftsubnet=0.0.0.0/0,::/0
### right - remote (client) side
eap_identity=%identity
rightsourceip=10.10.11.0/24,2a00:1450:400c:c05::/112
rightdns=8.8.8.8,2001:4860:4860::8888
conn ikev2-mschapv2
rightauth=eap-mschapv2
conn ikev2-mschapv2-apple
rightauth=eap-mschapv2
leftid=mydomain.com
2 ответа
Я новичок в настройках VPN.
Я просто пытался изменить leftsubnet в 10. 10.10.0/24 и теперь это работает. Только трафик на 10. 10.10.0/24 пересылается на сервер VPN.
К сожалению, вы не можете. Вы должны настроить клиентов вместо этого.
Что я делаю, это создаю скрипт на стороне клиента в /etc/ppp/ip-up как это:
/sbin/route add 172.31.0.0/16 $5
$5 расширяется до IP-адреса шлюза VPN при подключении