IPSec 可用于隧道模式来构建 VPN,通过网关将道路战士连接到主机子网。这通常利用内部 IP 地址空间,使事情变得复杂。此外,所有流量都通过 VPN 网关,这是一个自然的瓶颈。
如何配置 IPSec,使我的 road-warrior 使用传输模式加密连接到此指定子网中的任何主机。本质上,我想用一个单独的传输模式 VPN 将隧道模式 VPN 替换为子网中的每个主机。理想情况下,无需单独的 VPN 配置条目和手动启动 VPN。我查看了 strongswan/libreswan 文档,但找不到任何东西。我使用基于证书的身份验证对通配符配置进行成像,所有主机都具有来自通用 CA 的证书。
这不是应该使用 IPSec 的传输模式部分的方式吗?特别是对于全 IPv6 网络,私有 IP 范围的额外复杂性是低效的。