我们已经build立了一个ikev2 VPN服务器与本教程 ,一切正常。 唯一的问题是我们不希望客户端使用此VPN路由所有stream量,只有特定的IP地址。
那么,有可能为客户端自动configurationIP地址“173.194.44.71,173.194.44.65”等?
在strongswan的术语中,“left”是服务器,“right”是客户端。 “leftsubnet”是你想要修改的。 “0.0.0.0/0”匹配整个互联网,所以任何连接的客户端都会尝试通过VPN连接发送任何互联网绑定的stream量,这显然不是你想要的。
您可以路由多个服务器端的IP,将它们定义为单独的连接块,并完全移除leftsubnet行(或缩小其定义)…
conn ikev2-vpn-1 left=%any leftid=173.194.44.71/32 leftcert=/etc/ipsec.d/certs/vpn-server-cert.pem leftsendcert=always right=%any rightid=%any rightauth=eap-mschapv2 rightdns=8.8.8.8,8.8.4.4 rightsourceip=10.10.10.0/24 rightsendcert=never eap_identity=%identity conn ikev2-vpn-2 left=%any leftid=173.194.44.65/32 leftcert=/etc/ipsec.d/certs/vpn-server-cert.pem leftsendcert=always right=%any rightid=%any rightauth=eap-mschapv2 rightdns=8.8.8.8,8.8.4.4 rightsourceip=10.10.10.0/24 rightsendcert=never eap_identity=%identity 这些街区绝对不需要所有的东西,但是我没有一个强壮的球队来玩,但这就是主意。 任何连接的客户端将从10.10.10.0/24获得一个IP,并通过VPN获得一条到173.194.44.65 / 32和173.194.44.71/32的路由,并使用它已经拥有的所有路由。
我希望这有帮助。