Estoy creando una red IPsec/L2TP y quiero tener un servidor y varios clientes.
En cada cliente, la única forma de hacer que IPsec funcionara correctamente fue configurar la IP de la interfaz que alojará el tráfico como leftsourceip. Parece estar bien cuando esta interfaz es pública, pero parece un poco incorrecto cuando la máquina está detrás de una NAT y la interfaz tiene una IP privada.
A continuación se muestra un ejemplo de la configuración de ipsec desde el cliente:
config setup
charondebug="ike 1, knl 1, cfg 0"
uniqueids=no
conn ikev2-vpn
auto=route
compress=no
type=tunnel
keyexchange=ikev2
fragmentation=yes
forceencaps=yes
dpdaction=clear
dpddelay=300s
esp=aes256-sha256-modp4096!
ike=aes256-sha256-modp4096!
rekey=no
right=ipsec.server.url
rightid=%any
rightauth=pubkey
rightprotoport=17/1701
left=10.0.0.60
leftsubnet=10.0.0.60/32
leftid=%any
leftauth=pubkey
leftcert=my-cert.crt
leftsendcert=always
leftprotoport=17/1701
leftsourceip=10.0.0.60
La IP de este cliente es 10.0.0.60, por lo que IPSEC está creando un túnel entre el servidor/32 y esta IP/32 y está funcionando bien.
Pero como es una IP privada, podría tener dos clientes con la misma IP, por lo que ya no funcionará. Y no creo que intentar poner la ip pública de este cliente sea buena idea porque puedo tener varios clientes con la misma IP.
Puedo ver al menos dos soluciones. Si doy manualmente una IP virtual a mi interfaz saliente en mi cliente, puedo evitar fácilmente dar la misma IP a varios clientes, pero requiere una acción manual y algunos clientes no me permiten dar una nueva dirección (hardware integrado). ).
La otra solución sería configurar ipsec para distribuir IP virtual, pero en ese caso siento que estoy configurando una VPN L2 dentro de una VPN L3 y tendría dos redes IP una encima de la otra.
Estoy confundido, ¿me estoy perdiendo algo? ¿Cuál es la forma correcta de configurar IPsec con L2TP?
Gracias