conjunto de IPs do arquivo de configuração IKEV2

2

Eu tenho alguns problemas com a configuração da VPN usando o IKEV2. Aqui está o meu arquivo de configuração do servidor

config setup

    #  Uncomment to allow few simultaneous connections with one user account.
    #  By default only one active connection per user allowed.
    # uniqueids=no

    # Increase debug level
    # charondebug = ike 3, cfg 3

conn %default

    # More advanced ciphers. Uncomment if you need it.
    # Default ciphers will works on most platforms.
    # ike=aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!
    # esp=aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1-modp2048,aes128-sha1-modp1024,3des-sha1-modp1024,aes128-aes256-sha1-sha256,aes128-sha1,3des-sha1!

    # Dead peer detection will ping clients and terminate sessions after timeout
    dpdaction=clear
    dpddelay=35s
    dpdtimeout=2000s

    keyexchange=ikev2
    auto=add
    rekey=no
    reauth=no
    fragmentation=yes
    #compress=yes

    # left - local (server) side
    leftcert=mydomain.net.crt # Filename of certificate located at /etc/ipsec.d/certs/
    leftsendcert=always
    # Routes pushed to clients. If you don't have ipv6 then remove ::/0
    leftsubnet=0.0.0.0/0

    # right - remote (client) side
    eap_identity=%identity
    # ipv4 and ipv6 subnets that assigns to clients. If you don't have ipv6 then remove it
    rightsourceip=192.168.0.0/24
    rightdns=192.168.0.1,8.8.8.8

# Windows and BlackBerry clients usually goes here
conn ikev2-mschapv2
    rightauth=eap-mschapv2

# Apple clients usually goes here
conn ikev2-mschapv2-apple
    rightauth=eap-mschapv2
    leftid=mydomain.net

O problema é que eu especifiquei rightsourceip=192.168.0.0/24 para cada novo cliente obterá IP nesta rede, mas é claro que eu já tenho computadores em minha rede local.

E quando eu tento conectar-me à minha VPN, ele se conecta, mas o cliente obtém o endereço IP 192.168.0.1, que é o IP dos roteadores.

Além disso, tenho outros dispositivos e PCs nessa rede, para que o cliente receba os problemas de IP existentes.

Meus roteadores atuam como servidor DHCP e possuem o IP 192.168.0.1

Eu tentei pesquisar a configuração adequada do pool de IP, mas não encontrei nenhuma informação.

Eu não tenho certeza se isso é possível, mas seria ótimo se eu pudesse rotear o endereço IP para o meu roteador em vez de leasing de endereços pelo servidor VPN (tanto quanto eu posso imaginar, por favor me corrija caso eu esteja errado ).

Por favor, ajude-me a resolver este problema. Obrigado.

    
por CROSP 13.10.2016 / 21:53

1 resposta

1

Você tem várias opções, que também são descritas na página wiki Forwarding and Split-Tunneling do strongSwan:

  1. Configure uma sub-rede diferente para os IPs virtuais (por exemplo, 192.168.100.0/24 ) e, em seguida, rotear o tráfego adequadamente (para que os hosts na LAN do servidor não enviem pacotes endereçados a essa sub-rede para o gateway padrão, mas para o servidor VPN) ou NAT para o endereço IP do servidor Parece aos outros anfitriões que o tráfego originado do servidor VPN e eles podem responder facilmente a ele).
  2. Atribua endereços de uma sub-rede de 192.168.0.0/24 que você reserva para isso e não use para outros hosts na LAN do servidor (por exemplo, 192.168.0.192/26, se isso for grande o suficiente e fora do intervalo de DHCP e não usado para endereços estaticamente atribuídos).
  3. Use o dhcp plugin para solicitar IPs virtuais de 192.168. 0.0 / 24 para seus clientes do servidor DHCP existente.

As duas últimas opções exigem o uso do farp plugin como você está atribuindo IPs da mesma sub-rede aos quais os hosts do lado do servidor estão conectados.

    
por 14.10.2016 / 09:20