私は現在、openswan、libreswan、およびStrongswan(さまざまなディストリビューション用)を使用して、大学独自のL2TP / IPSec VPNネットワーク用のVPNクライアントを設定しています。
問題はこれである:
リモートサイト(VPNサーバー)は、複数のIPアドレス(123.123.123.100-123.123.123.103など)を持つドメイン名(xxx.comなど)です。
この場合、conn部分はどのように設定する必要がありますか?
私は同様のことを試しました:
conn university
...
left=%defaultroute
right=xxx.com
...
auto=route
*swanが起動するとxxx.comをチェックし、DNS要求から返されたIP(たとえば123.123.123.100)を介してルートを確立するため、これは機能しないようです。その後、xxx.comに接続すると、ドメインを再確認して別のIP(たとえば123.123.123.101)を取得でき、接続は* swanを通過しません。
私はそのrightsubnet
オプションを試しましたが、何を選ぶべきかわかりませんright
。 *swanを使用すると、少しのエラー(記憶がないようなもの)が%any
発生し、connの追加を拒否します。No route to destination
今私の解決策は次のとおりです。
conn university0
right=123.123.123.100
also=university
auto=route
conn university1
right=123.123.123.101
also=university
auto=route
conn university2
right=123.123.123.102
also=university
auto=route
conn university3
right=123.123.123.103
also=university
auto=route
conn university4
right=123.123.123.104
also=university
auto=route
conn university
left=%defaultroute
...
...これはうまくいきますが、見苦しく拡張性がありません。
以前にracoonを使用したときは、setkey
コマンドでSPDを直接修正して、そのIPのポリシーを直接設定することができました。
このような状況は非常に一般的であると考えており、*swanにはこの状況に合わせて設計されたソリューションがあります。誰でも助けることができますか?