服务器 Gind.cn
  1. 服务器 Gind.cn
  3. IKEV2configuration文件IP池
Intereting Posts
将名称parsing依赖关系添加到systemd服务 PHP5-FPM – 更新后拒绝访问 启用Hyper-V集成服务时间同步服务与Internet时间同步 SQL Server 2008突然变慢了 使用wgetrecursion下载时错误的文件名编码/解码 使用rsync的归档标志而不复制符号链接 Nginx作为Google App Engine应用程序的反向代理 r10k提供了什么,因为Puppet本身支持目录环境? 如何为redirect的Zope创build一个Apache错误页面 通过networking推出/发布大集文件的最有效方法是什么? 应用程序引擎实例小时数似乎太高 为什么我的PolicyDefintions文件夹被重命名? 无法使sshd + pam + ldap正常工作(AuthorizedKeysCommand?) stream量通过未知方式路由 yum更新/重新启动后奇怪的路线

IKEV2configuration文件IP池

我在使用IKEV2configurationVPN时遇到一些问题。 这是我的服务器configuration文件 

config setup # Uncomment to allow few simultaneous connections with one user account. # By default only one active connection per user allowed. # uniqueids=no # Increase debug level # charondebug = ike 3, cfg 3 conn %default # More advanced ciphers. Uncomment if you need it. # Default ciphers will works on most platforms. # ike=aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024! # esp=aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1-modp2048,aes128-sha1-modp1024,3des-sha1-modp1024,aes128-aes256-sha1-sha256,aes128-sha1,3des-sha1! # Dead peer detection will ping clients and terminate sessions after timeout dpdaction=clear dpddelay=35s dpdtimeout=2000s keyexchange=ikev2 auto=add rekey=no reauth=no fragmentation=yes #compress=yes # left - local (server) side leftcert=mydomain.net.crt # Filename of certificate located at /etc/ipsec.d/certs/ leftsendcert=always # Routes pushed to clients. If you don't have ipv6 then remove ::/0 leftsubnet=0.0.0.0/0 # right - remote (client) side eap_identity=%identity # ipv4 and ipv6 subnets that assigns to clients. If you don't have ipv6 then remove it rightsourceip=192.168.0.0/24 rightdns=192.168.0.1,8.8.8.8 # Windows and BlackBerry clients usually goes here conn ikev2-mschapv2 rightauth=eap-mschapv2 # Apple clients usually goes here conn ikev2-mschapv2-apple rightauth=eap-mschapv2 leftid=mydomain.net

问题是我已经指定了rightsourceip=192.168.0.0/24所以每个新客户端都会在这个networking中获得IP,但是当然我的本地networking中已经有了计算机。

而当我试图连接到我的VPN连接,但客户端获得192.168.0.1的IP地址是路由器IP。

此外,我在这个networking中有另外的设备和PC,因此客户端将会发生现有的IP问题。

我的路由器作为DHCP服务器,IP地址为192.168.0.1

我试图search正确的IP池configuration,但没有find任何信息。

我不确定这是否可行,但是如果我可以将IP地址租约路由到我的路由器,而不是通过VPN服务器租用地址,那就太好了(据我猜测,如果我错了,请纠正我的错误)。

请帮我解决这个问题。 谢谢。

您有几个选项,这些选项也在strongSwan的转发和分割隧道 wiki页面中进行了描述:

  1. 为虚拟IPconfiguration不同的子网(例如192.168.100.0/24),然后正确路由stream量(以便服务器LAN中的主机不会将发往该子网的数据包发送到其默认网关,而是发送到VPN服务器)或NAT将客户端的stream量转换为服务器自己的IP地址(所以对于其他主机来说,stream量源自VPN服务器,并且可以轻松响应)。
  2. 从192.168.0.0/24的子网中指定您为此保留的地址,而不要用于服务器LAN上的其他主机(例如,192.168.0.192/26,如果它足够大,超出DHCP范围并且不能用于静态分配的地址)。
  3. 使用dhcp插件从现有的DHCP服务器为客户端请求192.168.0.0/24以外的虚拟IP。

后两个选项需要使用farp插件,因为您要从服务器端主机所连接的同一子网中分配IP。