strongswan:完全に仮想サブネット
私は最近、strongswan IPSec VPNをセットアップして、ホームサーバーのいくつかの非公開サービスにAndroidスマートフォンからアクセスします。同じタスクのために他のデバイスでOpenVPNを使用していますが、strongswanをIKEv2はモバイルデバイスで非常にリソースフレンドリーであると想定されているため(電話が間違っている場合は修正してください)、電話。
現在の(openvpn)設定は、1つのサーバー(仮想IP:10.0.0.2)と複数のクライアント(すべて10.0.0.0/24サブネット内)で構成されています。すべてのパーティのルートは、このサブネット専用のVPNを介してパケットのみをルーティングするように設定されています。 (私はしないクライアントからサーバーのローカルサブネットにアクセスしたい、またしないクライアントのすべてのトラフィックをサーバー経由でルーティングしたい)
今、私はなんとかstrongswan(サーバー:5.0.4、クライアント:公式strongswan Android app 1.3.0))でうまくいくようになりましたが、まだ完全にはありません。まず、サーバー構成:
config setup
conn %default
keyexchange=ikev2
conn Android
left=%any
leftauth=pubkey
leftcert=serverCert.pem
leftid=vpn.mydomain.com
leftsourceip=10.10.10.128
leftfirewall=yes
right=%any
rightsourceip=10.10.10.0/24
rightauth=pubkey
rightcert=clientCert_mymobilephone.pem
rightauth2=eap-mschapv2
auto=start
これにより、IP 10.10.10.1が電話に割り当てられますが、サーバーのインターフェイスにIPが割り当てられません。これは、私が望むものです。ローカルIP(192.168.1.2)を使用すると、VPN経由でサーバーにアクセスできますが、これは実際には意図したものではありません;)
すべてのクライアント(主にノートブック)をOpenVPNからstrongswanに移行したいのですが、上記の問題により切り替えができません。さまざまなstrongswan構成を試しましたが、OpenVPN構成に一致するものはありませんでした。もしそうなら、それも可能ですか?
OpenVPNとは対照的に、StrongSWANはこの方法で使用することを意図していないことに注意してください。仮想インターフェイスを作成せず、トンネルの両側に仮想IPアドレスを割り当てません。あなたが間違いなくcouldすることは、サーバー側のインターフェースの1つにアドレス10.0.0.2を追加することです
ip addr add 10.0.0.2/32 dev eth0
適切な「leftsubnet」ディレクティブを構成に追加して、IPSECフェーズ2交換の一部になるようにします。言うまでもなく、この場合、トンネリングでESPを使用する必要があります。