Pelo que entendi, a opção de configuração virtual_private declara quais sub-redes devem ser permitidas pelo túnel e quais devem ser excluídas. Por exemplo, se eu tiver a seguinte configuração:
virtual_private=%v4:10.6.100.0/24,%v4:!192.168.11.0/24,%v4:10.10.0.254/24
.. de acordo com as redes ipsec auto --status 10.6.100.0/24 e 10.10.0.0/24 são permitidas e 192.168.11.0/24 não é permitido:
000 virtual_private (%priv):
000 - allowed 2 subnets: 10.6.100.0/24, 10.10.0.0/24
000 - disallowed 1 subnet: 192.168.11.0/24
000
O que isso permitiu e não permitiu? O que isso significa sob o capô? Existem algumas rotas criadas? Isso afeta algumas políticas do framework xfrm?
Essa configuração no lado do servidor é usada para especificar a qual rede o cliente pode acessar quando estiver atrás do roteador NAT através do qual os clientes se conectam. Geralmente, você desabilitará a rede na qual os clientes residem.
Este valor é geralmente definido para todo o espaço de endereçamento do RFC-1918, excluindo o espaço usado na sub-rede local atrás do NAT (um endereço IP não pode residir em dois locais ao mesmo tempo).