次の ipsec.conf 構成を使用します。
conn %default
ikelifetime=60m
keylife=20m
keyingtries=3
rekeymargin=3m
keyexchange=ikev2
esp=aes-aes256-sha-modp1024,aes256-sha512-modp4096
ike=aes-aes256-sha-modp1024,aes256-sha512-modp4096
leftcert=servercert.pem
leftid=server.strongswan.org
lefthostaccess=yes
leftfirewall=yes
conn roadwarrior
left=%any
right=%any
leftsubnet=0.0.0.0/0
rightsourceip=%dhcp
auto=add
クライアントがNAT(たとえば、プライベートIP範囲、たとえば192.168.1.0/24)の背後から接続している場合、そのローカルパス(192.xxxの範囲)はトンネル(ゲートウェイには知られていません)を介して転送されるため、機能しなくなります。外部プライベートネットワークについて)。
問題は、トンネルを介してすべてのトラフィックを取得する方法です。とは別に顧客自身のネットワーク用。