Agora estou configurando um cliente vpn para a rede VPN L2TP / IPSec da minha universidade, usando tanto o openswan, libreswan e strongswan (para diferentes distros).
Aqui está o problema:
O site remoto (servidor VPN) é um nome de domínio (digamos xxx.com) com vários endereços IP (por exemplo, 123.123.123.100-123.123.123.103).
Neste caso, como devo definir a parte do conn?
Eu tentei algo como:
conn university
...
left=%defaultroute
right=xxx.com
...
auto=route
O que parece não funcionar, já que quando o comando * cisne inicia, ele analisa xxx.com e configura a rota pelo IP retornado pela solicitação DNS (digamos 123.123.123.100). Então, quando eu fizer uma conexão com o xxx.com, ele poderá analisar o domínio novamente e obter um IP diferente (digamos 123.123.123.101), e a conexão não passará pelo * swan.
Eu também tentei a opção rightsubnet
, mas não sei qual deve ser a opção right
. Se eu usar apenas %any
, * swan vai dar algum erro como No route to destination
(algo assim, não me lembro) e se recusar a adicionar o conn.
Agora, minha solução alternativa é:
conn university0
right=123.123.123.100
also=university
auto=route
conn university1
right=123.123.123.101
also=university
auto=route
conn university2
right=123.123.123.102
also=university
auto=route
conn university3
right=123.123.123.103
also=university
auto=route
conn university4
right=123.123.123.104
also=university
auto=route
conn university
left=%defaultroute
...
... que funciona, mas parece feio e não escalável.
No passado, quando eu uso o racoon, posso usar o comando setkey
para modificar o SPD diretamente, para que eu possa definir diretivas para os IPs correspondentes diretamente.
Acho que esse caso é comum e haverá uma solução projetada para esse caso no * swan. Alguém pode ajudar?
Tags vpn ipsec openswan dynamic-dns