Existe uma extensão do host para hospedar o ipsec para uma configuração many-many?

2

Tendo um host típico para hospedar a configuração ipsec do modo de transporte,

conn appserver01-to-swift01
    [email protected]
    left=10.133.176.246
    leftrsasigkey=xxxxxxxxxxxxxxxxxxxxxxxx
    [email protected]
    right=10.133.176.111
    authby=rsasig
    rightrsasigkey=xxxxxxxxxxxxxxxxxxxxxxx
    # load and initiate automatically
    auto=start

Existe uma maneira de tornar isso uma conexão de muitos para um / muitos? Eu tenho vários hosts na mesma lan e eu estava usando isso para obter tráfego criptografado entre os dois hosts, se eu adicionar mais hosts, eu preciso adicionar mais host ao host ou é possível fazer:

conn mytunnel
     left=192.168.56.120
     leftcert=leftcert.pem
     right=%any
     rightrsasigkey=%cert
     rightca="C=KE, O=Mycompany, OU=mydepartment, CN=*"
     auto=add

usando autenticação de certificado? Eu tentei algo assim, mas certo diz

We cannot identify ourselves with either end of this connection.

e à esquerda diz:

 cannot initiate connection without knowing peer IP address

de alguma documentação que eu vi (veja right =% any ), achei que era possível, mas depois de tentar e falhar, estou achando que não é possivel, redhat , então é possível ter a configuração única aceita qualquer cliente que apresenta um certificado x.509 válido, independentemente do seu endereço IP? Todos os endereços são privados e todas as máquinas são praticamente equivalentes.

uma pergunta semelhante foi feita antes em alguma lista de discussão, mas não encontrei nenhuma resposta pública a ela (listas .openswan. org /pipermail/users/2015-March/023294.html)

    
por user22866 29.08.2015 / 20:31

0 respostas