IPsec/L2TP 네트워크를 만들고 있는데 하나의 서버와 여러 클라이언트를 갖고 싶습니다.
각 클라이언트에서 IPsec이 제대로 작동하도록 하는 유일한 방법은 트래픽을 호스팅할 인터페이스의 IP를 leftsourceip로 설정하는 것이었습니다. 이 인터페이스가 공용이면 괜찮은 것 같지만, 머신이 NAT 뒤에 있고 인터페이스에 개인 IP가 있는 경우에는 다소 잘못된 것 같습니다.
다음은 클라이언트의 ipsec 구성 예입니다.
config setup
charondebug="ike 1, knl 1, cfg 0"
uniqueids=no
conn ikev2-vpn
auto=route
compress=no
type=tunnel
keyexchange=ikev2
fragmentation=yes
forceencaps=yes
dpdaction=clear
dpddelay=300s
esp=aes256-sha256-modp4096!
ike=aes256-sha256-modp4096!
rekey=no
right=ipsec.server.url
rightid=%any
rightauth=pubkey
rightprotoport=17/1701
left=10.0.0.60
leftsubnet=10.0.0.60/32
leftid=%any
leftauth=pubkey
leftcert=my-cert.crt
leftsendcert=always
leftprotoport=17/1701
leftsourceip=10.0.0.60
이 클라이언트의 IP는 10.0.0.60이므로 ipsec은 server/32와 이 ip/32 사이에 터널을 생성하고 있으며 잘 작동하고 있습니다.
하지만 사설 IP이기 때문에 동일한 IP를 가진 두 개의 클라이언트가 있을 수 있으므로 더 이상 작동하지 않습니다. 그리고 동일한 IP를 가진 여러 클라이언트가 있을 수 있으므로 이 클라이언트의 공개 IP를 입력하는 것이 좋은 생각이라고 생각하지 마십시오.
적어도 두 가지 해결책을 볼 수 있습니다. 클라이언트의 나가는 인터페이스에 가상 IP를 수동으로 제공하면 여러 클라이언트에 동일한 IP를 제공하는 것을 쉽게 피할 수 있지만 수동 작업이 필요하며 일부 클라이언트에서는 새 주소 제공을 허용하지 않습니다(내장 하드웨어). ).
다른 해결책은 가상 IP를 배포하도록 ipsec을 구성하는 것이지만, 이 경우 L3 VPN 내부에 L2 VPN을 설정하는 것처럼 느껴지고 서로 위에 두 개의 IP 네트워크가 있게 됩니다.
혼란스럽네요. 제가 뭔가를 놓치고 있는 걸까요? L2TP로 IPsec을 구성하는 올바른 방법은 무엇입니까?
감사해요