IKEV2 файл конфигурации IP-пул

Question

IKEV2 файл конфигурации IP-пул

У меня есть некоторые проблемы с настройкой VPN с использованием IKEV2. Вот мой файл конфигурации сервера

config setup

    #  Uncomment to allow few simultaneous connections with one user account.
    #  By default only one active connection per user allowed.
    # uniqueids=no

    # Increase debug level
    # charondebug = ike 3, cfg 3

conn %default

    # More advanced ciphers. Uncomment if you need it.
    # Default ciphers will works on most platforms.
    # ike=aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!
    # esp=aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1-modp2048,aes128-sha1-modp1024,3des-sha1-modp1024,aes128-aes256-sha1-sha256,aes128-sha1,3des-sha1!

    # Dead peer detection will ping clients and terminate sessions after timeout
    dpdaction=clear
    dpddelay=35s
    dpdtimeout=2000s

    keyexchange=ikev2
    auto=add
    rekey=no
    reauth=no
    fragmentation=yes
    #compress=yes

    # left - local (server) side
    leftcert=mydomain.net.crt # Filename of certificate located at /etc/ipsec.d/certs/
    leftsendcert=always
    # Routes pushed to clients. If you don't have ipv6 then remove ::/0
    leftsubnet=0.0.0.0/0

    # right - remote (client) side
    eap_identity=%identity
    # ipv4 and ipv6 subnets that assigns to clients. If you don't have ipv6 then remove it
    rightsourceip=192.168.0.0/24
    rightdns=192.168.0.1,8.8.8.8

# Windows and BlackBerry clients usually goes here
conn ikev2-mschapv2
    rightauth=eap-mschapv2

# Apple clients usually goes here
conn ikev2-mschapv2-apple
    rightauth=eap-mschapv2
    leftid=mydomain.net

Проблема в том, что я указал rightsourceip=192.168.0.0/24 поэтому каждый новый клиент получит IP в этой сети, но, конечно, у меня уже есть компьютеры в моей локальной сети.

И когда я пытаюсь подключиться к своему VPN, он подключается, но клиент получает 192.168.0.1 IP-адрес, который является IP-адресом маршрутизатора.

Кроме того, у меня есть другие устройства и компьютеры в этой сети, поэтому у клиента будут возникать проблемы с IP.

Мои маршрутизаторы действуют как DHCP-сервер и имеют IP-адрес 192.168.0.1

Я пытался найти правильную конфигурацию пула IP, но не нашел никакой информации.

Я не уверен, возможно ли это, но было бы замечательно, если бы я мог направлять аренду IP-адресов на мой маршрутизатор вместо аренды адресов VPN-сервером (насколько я могу догадаться, пожалуйста, исправьте меня, если я ошибся).

Пожалуйста, помогите мне решить эту проблему. Благодарю.

2

vpn ip dhcp strongswan ikev2

Источник

CROSP 13 окт '16 в 19:53

1 ответ

Решение

Другие вопросы по тегам vpn ip dhcp strongswan ikev2

ecdsa 14 окт '16 в 07:20 2016-10-14 07:20 · Accepted Answer · 2016-10-14 07:20

У вас есть несколько вариантов, которые также описаны на вики-странице strongSwan Forwarding и Split-Tunneling:

Настройте другую подсеть для виртуальных IP-адресов (например, 192.168.100.0/24), а затем либо правильно направьте трафик (чтобы хосты в локальной сети сервера отправляли пакеты, адресованные этой подсети, не на их шлюз по умолчанию, а на сервер VPN) или NAT клиентский трафик на собственный IP-адрес сервера (так что другим хостам кажется, что трафик исходил от VPN-сервера, и они могут легко ответить на него).
Назначьте адреса из подсети 192.168.0.0/24, которые вы зарезервировали для этого, и не используйте их для других хостов в локальной сети сервера (например, 192.168.0.192/26, если она достаточно велика и находится вне диапазона DHCP и не используется для статически назначенные адреса).
Используйте плагинdhcp для запроса виртуальных IP-адресов из 192.168.0.0/24 для ваших клиентов с существующего DHCP-сервера.

Последние два варианта требуют использования плагинаfarp, поскольку вы назначаете IP-адреса из той же подсети, к которой подключены хосты на стороне сервера.