According to the manual, the comma separated notation should be correct...
É se o outro par suportar várias sub-redes por CHILD_SA. É possível que esse não seja o caso aqui. Em caso afirmativo, você teria que definir várias seções conn para iniciar CHILD_SAs separados:
conn %default
keyexchange=ikev2
authby=secret
conn net-net
ike=aes256-sha512-modp2048!
leftauth=psk
left=xx.xx.xx.xx
leftsubnet=10.255.1.0/24
leftfirewall=yes
rightauth=psk
right=yy.yy.yy.yy
auto=add
rightsubnet=10.250.72.0/24
conn net-host
also=net-net
rightsubnet=192.168.149.199/32
A "strongswan up net-net" succeeds, but after that a "strongswan up net-host" fails with "received INVALID_SYNTAX notify error". When I set net-host up first, this one succeeds and net-net fails after that. So the second one always fails...
Parece que este par também tem problemas se mais de um CHILD_SA for criado por IKE_SA (no entanto, INVALID_SYNTAX é um erro estranho nesse caso). Para evitar que charon.reuse_ikesa em strongswan.conf possa ser desativado. Dessa forma, um novo IKE_SA é criado junto com o segundo CHILD_SA.
O último pode causar problemas se apenas um IKE_SA for permitido por peer. Portanto, outra opção possível (se o par suportar isso) é definir rightsubnet=0.0.0.0/0 (apenas uma seção conn necessária), então o outro par pode restringir isso às sub-redes que ele permite. No entanto, isso é semelhante à sua primeira tentativa, por isso, talvez não funcione com colegas que têm problemas com várias sub-redes por CHILD_SA.