Vpn
IKEV2配置文件IP池
我在使用 IKEV2 配置 VPN 時遇到了一些問題。這是我的伺服器配置文件
config setup # Uncomment to allow few simultaneous connections with one user account. # By default only one active connection per user allowed. # uniqueids=no # Increase debug level # charondebug = ike 3, cfg 3 conn %default # More advanced ciphers. Uncomment if you need it. # Default ciphers will works on most platforms. # ike=aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024! # esp=aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1-modp2048,aes128-sha1-modp1024,3des-sha1-modp1024,aes128-aes256-sha1-sha256,aes128-sha1,3des-sha1! # Dead peer detection will ping clients and terminate sessions after timeout dpdaction=clear dpddelay=35s dpdtimeout=2000s keyexchange=ikev2 auto=add rekey=no reauth=no fragmentation=yes #compress=yes # left - local (server) side leftcert=mydomain.net.crt # Filename of certificate located at /etc/ipsec.d/certs/ leftsendcert=always # Routes pushed to clients. If you don't have ipv6 then remove ::/0 leftsubnet=0.0.0.0/0 # right - remote (client) side eap_identity=%identity # ipv4 and ipv6 subnets that assigns to clients. If you don't have ipv6 then remove it rightsourceip=192.168.0.0/24 rightdns=192.168.0.1,8.8.8.8 # Windows and BlackBerry clients usually goes here conn ikev2-mschapv2 rightauth=eap-mschapv2 # Apple clients usually goes here conn ikev2-mschapv2-apple rightauth=eap-mschapv2 leftid=mydomain.net
問題是我已經指定
rightsourceip=192.168.0.0/24
了,所以每個新客戶端都會在這個網路中獲得 IP,但是當然我的本地網路中已經有電腦。當我嘗試連接到我的 VPN 時,它會連接,但客戶端會獲得 192.168.0.1 IP 地址,即路由器 IP。
此外,我在此網路中有其他設備和 PC,因此客戶端將獲得現有的 IP 問題。
我的路由器充當 DHCP 伺服器,IP 為 192.168.0.1
我試圖搜尋正確的 IP 池配置,但沒有找到任何資訊。
我不確定這是否可能,但如果我可以將 IP 地址租用路由到我的路由器而不是通過 VPN 伺服器租用地址,那就太好了(據我所知,如果我錯了,請糾正我)。
請幫我解決這個問題。謝謝。
您有幾個選項,strongSwan 的轉發和拆分隧道wiki 頁面上也描述了這些選項:
- 為虛擬 IP配置不同的子網(例如 192.168.100.0/24),然後正確路由流量(因此伺服器 LAN 中的主機不會將發送到該子網的數據包發送到其預設網關,而是發送到 VPN 伺服器)或將客戶端的流量 NAT 到伺服器自己的 IP 地址(因此在其他主機看來,流量來自 VPN 伺服器,它們可以輕鬆響應)。
- 從 192.168.0.0/24 的子網中分配地址,您為此保留並且不用於伺服器 LAN 上的其他主機(例如 192.168.0.192/26,如果它足夠大並且超出 DHCP 範圍並且不用於靜態分配的地址)。
- 使用dhcp外掛從現有 DHCP 伺服器為您的客戶端請求 192.168.0.0/24 之外的虛擬 IP。
後兩個選項需要使用farp外掛,因為您要從伺服器端主機所連接的同一子網分配 IP。