strongSwan: несколько прав в подсети с использованием IKEv1

Question

strongSwan: несколько прав в подсети с использованием IKEv1

https://wiki.strongswan.org/projects/strongswan/wiki/ConnSection

Согласно документации strongSwan rightsubnet с несколькими сетевыми адресами работает только с IKEv2. Существует общий (?) Обходной путь для настройки нескольких соединений, использующих один и тот же SA. Наш сценарий заключается в том, что мы используем Vigor 2860 в качестве шлюза VPN компании, к которому подключаются все домашние офисы и т. Д.

Если я настрою несколько соединений в strongSwan, мне нужно будет определить несколько профилей LAN-to-LAN в Vigor. В зависимости от домашнего офиса для подключения это будет превышать количество профилей.

Есть ли другой обходной путь для достижения трафика во 2-ю подсеть, отправляемую через туннель? (Маршрутизация? NATing?)

Заранее спасибо.

0

vpn site-to-site-vpn strongswan vigor

Источник

robbash 13 янв '17 в 08:30

1 ответ

Другие вопросы по тегам vpn site-to-site-vpn strongswan vigor

Vesper 29 ноя '17 в 07:59 2017-11-29 07:59 · Answer 1 · 2017-11-29 07:59

Если вам нужны только ресурсы за Vigor, доступные для VPN-доступа от клиентов с коммутируемым доступом, при подключении к шлюзу следует использовать NAT на стороне клиента и, вероятно, использовать L2TP/IPsec в транспортном режиме для настройки соединений. Таким образом, шлюзы вашего домашнего офиса будут подключаться к центральному концентратору, получать IP-адреса из пула, настроенного в xl2tpd, и иметь возможность доступа к ресурсам в той же VPN или других маршрутизируемых сетях.

Если вам нужно связать любые два домашних офиса через эти VPN, возможно, будет лучше, если вы будете использовать другую конечную точку концентратора, чем Vigor, до другой установки Strongswan с включенным VPN-пропуском на Vigor для этой машины, и не беспокоиться об этом устройстве пределы профиля.