我有一个强大的实施,并遇到了一个问题,当有两个用户在同一个NAT后面,第二个“踢开”第一个。 我能够解决这个问题使用:
EAP的问题是,用户名必须是唯一的。 “Bob”和“Bill”在NAT后面工作正常,但是以“Bob”login的两台设备互相踢开(第二台设备工作,但第一台设备停止ping出)。 每个用户都从池中分配一个唯一的虚拟地址
这是一个问题,因为我想用一个通用的用户名\密码来提供数百个设备。 我确定也可以使用PSK,但是上次我尝试过PSK时,两个具有相同PSK的设备将会相互启动。
我更喜欢使用IKEv2,但如果需要的话,可以使用IKEv1 \ L2TP。 我认为这是可能的,因为Strongswan可以找出如何使用SPI重新encryption返回数据包。