web-dev-qa-db-ja.com

IKEV2構成ファイルIPプール

IKEV2を使用したVPNの構成に問題があります。これが私のサーバー構成ファイルです

config setup

    #  Uncomment to allow few simultaneous connections with one user account.
    #  By default only one active connection per user allowed.
    # uniqueids=no

    # Increase debug level
    # charondebug = ike 3, cfg 3

conn %default

    # More advanced ciphers. Uncomment if you need it.
    # Default ciphers will works on most platforms.
    # ike=aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!
    # esp=aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1-modp2048,aes128-sha1-modp1024,3des-sha1-modp1024,aes128-aes256-sha1-sha256,aes128-sha1,3des-sha1!

    # Dead peer detection will ping clients and terminate sessions after timeout
    dpdaction=clear
    dpddelay=35s
    dpdtimeout=2000s

    keyexchange=ikev2
    auto=add
    rekey=no
    reauth=no
    fragmentation=yes
    #compress=yes

    # left - local (server) side
    leftcert=mydomain.net.crt # Filename of certificate located at /etc/ipsec.d/certs/
    leftsendcert=always
    # Routes pushed to clients. If you don't have ipv6 then remove ::/0
    leftsubnet=0.0.0.0/0

    # right - remote (client) side
    eap_identity=%identity
    # ipv4 and ipv6 subnets that assigns to clients. If you don't have ipv6 then remove it
    rightsourceip=192.168.0.0/24
    rightdns=192.168.0.1,8.8.8.8

# Windows and BlackBerry clients usually goes here
conn ikev2-mschapv2
    rightauth=eap-mschapv2

# Apple clients usually goes here
conn ikev2-mschapv2-Apple
    rightauth=eap-mschapv2
    leftid=mydomain.net

問題は、rightsourceip=192.168.0.0/24を指定したため、新しいクライアントごとにこのネットワークでIPを取得できることですが、もちろん、ローカルネットワークにはすでにコンピューターがあります。

VPNに接続しようとすると接続されますが、クライアントはルーターIPである192.168.0.1IPアドレスを取得します。

さらに、このネットワークには別のデバイスとPCがあるため、クライアントは既存のIPの問題が発生します。

私のルーターはDHCPサーバーとして機能し、IPは192.168.0.1です。

適切なIPプール構成を検索しようとしましたが、情報が見つかりませんでした。

これが可能かどうかはわかりませんが、VPNサーバーでアドレスをリースする代わりにIPアドレスリースをルーターにルーティングできれば素晴らしいと思います(推測できる限り、間違った場合に備えて修正してください)。

この問題を解決するのを手伝ってください。ありがとう。

vpnipdhcpstrongswanikev2
2
CROSP

いくつかのオプションがありますが、strongSwanの 転送および分割トンネリング wikiページにも説明されています:

  1. 仮想IP (例:192.168.100.0/24)に別のサブネットを構成してから、トラフィックを適切にルーティングします(サーバーのLAN内のホストが、そのサブネット宛てのパケットをデフォルトに送信しないようにします)ゲートウェイ、ただしVPNサーバーへ)またはNATサーバー自身のIPアドレスへのクライアントのトラフィック(したがって、他のホストには、トラフィックがVPNサーバーから発信されたように見え、簡単に応答できます)それ)。
  2. このために予約し、サーバーのLAN上の他のホストには使用しない192.168.0.0/24のサブネットからアドレスを割り当てます(たとえば、192.168.0.192/26が十分に大きく、DHCP範囲外であり、静的に使用されていない場合)割り当てられたアドレス)。
  3. dhcpプラグイン を使用して、既存のDHCPサーバーからクライアントの192.168.0.0/24から仮想IPを要求します。

後者の2つのオプションでは、サーバー上のホストと同じサブネットからIPを割り当てるため、 farpプラグイン を使用する必要があります。 -サイドが付いています。

1
ecdsa