Vpn

如何配置 strongswan (IPsec) 僅轉發特定子網的流量?

  • November 25, 2017

我只需要將來自客戶端的流量轉發到特定子網的 VPN 伺服器,即 10.10.10.0/24

例如,如果客戶端向 123.123.123.123 發送請求,那麼他們將使用自己的 Internet。如果客戶端向 10.10.10.123 發送請求,那麼它們將使用 VPN 連接。

可以用strongswan配置嗎?現在來自客戶端的所有流量都通過 VPN 伺服器代理。這是我的strongswan配置:

config setup
   uniqueids=no
   charondebug = ike 3, cfg 3

conn %default
   dpdaction=clear
   dpddelay=35s
   dpdtimeout=2000s

   keyexchange=ikev2
   auto=add
   rekey=no
   reauth=no
   fragmentation=yes
   compress=yes

   ### left - local (server) side
   # filename of certificate chain located in /etc/strongswan/ipsec.d/certs/
   leftcert=fullchain.pem
   leftsendcert=always
   leftsubnet=0.0.0.0/0,::/0

   ### right - remote (client) side
   eap_identity=%identity
   rightsourceip=10.10.11.0/24,2a00:1450:400c:c05::/112
   rightdns=8.8.8.8,2001:4860:4860::8888

conn ikev2-mschapv2
   rightauth=eap-mschapv2

conn ikev2-mschapv2-apple
   rightauth=eap-mschapv2
   leftid=mydomain.com

我是 VPN 配置的新手。

我只是嘗試更改leftsubnet10. 10.10.0/24,現在它可以工作了。只有到的流量才會10. 10.10.0/24轉發到 VPN 伺服器。

不幸的是你不能。您必須改為配置客戶端。

我所做的是在客戶端創建一個腳本,/etc/ppp/ip-up如下所示:

/sbin/route add 172.31.0.0/16 $5

$5連接時擴展為 VPN 網關的 IP 地址

引用自:https://serverfault.com/questions/883737