Dois usuários atrás do mesmo NAT (PSK ou EAP) - strongswan

2

Eu tenho uma implementação strong e estou me deparando com um problema em que quando há dois usuários por trás do mesmo NAT, o segundo "inicia" o primeiro. Consegui resolver o problema usando:

  • Certificados de máquina.
  • EAP-MSCHAPv2 com nomes de usuário exclusivos.

O problema com o EAP é que os nomes de usuário devem ser únicos. "Bob" e "Bill" funcionam bem atrás de um NAT, no entanto dois dispositivos conectados como "Bob" se chutam (o segundo dispositivo funciona, mas o primeiro pára de pingar). Cada usuário recebe um endereço virtual exclusivo de um pool

Isso é um problema porque quero provisionar centenas de dispositivos com um nome de usuário \ senha genérica. Eu tenho certeza que o PSK também pode ser usado, mas da última vez que eu tentei o PSK, dois dispositivos com o mesmo PSK se desligariam um do outro.

Eu prefiro usar IKEv2 mas posso fazer IKEv1 \ L2TP se eu precisar. Eu acho que isso é possível porque o Strongswan pode descobrir como criptografar novamente os pacotes de retorno usando o SPI.

    
por jdoe 02.06.2016 / 15:29

0 respostas