Vpn

IKEV2配置文件IP池

  • October 14, 2016

我在使用 IKEV2 配置 VPN 時遇到了一些問題。這是我的伺服器配置文件

config setup

   #  Uncomment to allow few simultaneous connections with one user account.
   #  By default only one active connection per user allowed.
   # uniqueids=no

   # Increase debug level
   # charondebug = ike 3, cfg 3

conn %default

   # More advanced ciphers. Uncomment if you need it.
   # Default ciphers will works on most platforms.
   # ike=aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!
   # esp=aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1-modp2048,aes128-sha1-modp1024,3des-sha1-modp1024,aes128-aes256-sha1-sha256,aes128-sha1,3des-sha1!

   # Dead peer detection will ping clients and terminate sessions after timeout
   dpdaction=clear
   dpddelay=35s
   dpdtimeout=2000s

   keyexchange=ikev2
   auto=add
   rekey=no
   reauth=no
   fragmentation=yes
   #compress=yes

   # left - local (server) side
   leftcert=mydomain.net.crt # Filename of certificate located at /etc/ipsec.d/certs/
   leftsendcert=always
   # Routes pushed to clients. If you don't have ipv6 then remove ::/0
   leftsubnet=0.0.0.0/0

   # right - remote (client) side
   eap_identity=%identity
   # ipv4 and ipv6 subnets that assigns to clients. If you don't have ipv6 then remove it
   rightsourceip=192.168.0.0/24
   rightdns=192.168.0.1,8.8.8.8

# Windows and BlackBerry clients usually goes here
conn ikev2-mschapv2
   rightauth=eap-mschapv2

# Apple clients usually goes here
conn ikev2-mschapv2-apple
   rightauth=eap-mschapv2
   leftid=mydomain.net

問題是我已經指定rightsourceip=192.168.0.0/24了,所以每個新客戶端都會在這個網路中獲得 IP,但是當然我的本地網路中已經有電腦。

當我嘗試連接到我的 VPN 時,它會連接,但客戶端會獲得 192.168.0.1 IP 地址,即路由器 IP。

此外,我在此網路中有其他設備和 PC,因此客戶端將獲得現有的 IP 問題。

我的路由器充當 DHCP 伺服器,IP 為 192.168.0.1

我試圖搜尋正確的 IP 池配置,但沒有找到任何資訊。

我不確定這是否可能,但如果我可以將 IP 地址租用路由到我的路由器而不是通過 VPN 伺服器租用地址,那就太好了(據我所知,如果我錯了,請糾正我)。

請幫我解決這個問題。謝謝。

您有幾個選項,strongSwan 的轉發和拆分隧道wiki 頁面上也描述了這些選項:

  1. 為虛擬 IP配置不同的子網(例如 192.168.100.0/24),然後正確路由流量(因此伺服器 LAN 中的主機不會將發送到該子網的數據包發送到其預設網關,而是發送到 VPN 伺服器)或將客戶端的流量 NAT 到伺服器自己的 IP 地址(因此在其他主機看來,流量來自 VPN 伺服器,它們可以輕鬆響應)。
  2. 從 192.168.0.0/24 的子網中分配地址,您為此保留並且不用於伺服器 LAN 上的其他主機(例如 192.168.0.192/26,如果它足夠大並且超出 DHCP 範圍並且不用於靜態分配的地址)。
  3. 使用dhcp外掛從現有 DHCP 伺服器為您的客戶端請求 192.168.0.0/24 之外的虛擬 IP。

後兩個選項需要使用farp外掛,因為您要從伺服器端主機所連接的同一子網分配 IP。

引用自:https://serverfault.com/questions/808930