StrongSWAN/OpenSWAN 的兩個具有相同右子網的隧道

我正在嘗試為 Google Cloud VPN 設置“選項 3”配置，左側有兩個 Google Cloud VPN 網關，右側有 StrongSWAN 或 OpenSWAN：

如果您有兩個 Peer VPN 網關和兩個 Compute Engine VPN 網關，則每個 Compute Engine VPN 網關可以有一個指向每個 Peer VPN 網關公共 IP 的隧道，從而在 VPN 網關之間為您提供四個負載平衡的隧道，從而可能將頻寬增加 4 倍。

問題是，據我所知，在主動/主動配置中執行此操作（兩個隧道都服務流量）要求兩個對等網關具有相同的rightsubnet，這會導致第二個隧道因“路由已在使用”而出錯：

Sep 14 15:44:02 test-vpn ipsec: 002 added connection description "google1"
Sep 14 15:44:02 test-vpn ipsec: 002 added connection description "google2"
Sep 14 15:44:02 test-vpn ipsec: 003 "google2": cannot route -- route already in use for "google1"
Sep 14 15:44:02 test-vpn ipsec: 025 "google2": could not route

有什麼方法可以使用 StrongSWAN、OpenSWAN 或其他軟體 VPN 包支持此配置？我看到StrongSWAN有一個實驗性的高可用性模式，但這看起來很繁瑣，而且似乎不兼容。

正如您在增加 VPN 吞吐量文章的選項 1 和選項 2 中可能注意到的那樣，Compute Engine VPN 網關或網路會自動對到 Peer VPN 網關的流量進行負載平衡。

對於選項 3，您需要創建一個 VPN 網關集群來為您的 IPsec VPN 網關執行負載平衡。

正如您所提到的，這可以使用StrongSwan 的負載共享集群功能來完成，或者您可以設置一個負載平衡器（如HAProxy）來跨對等 VPN 網關分配來自遠端網路的工作負載。

引用自：https://serverfault.com/questions/722909