5.5. 配置站点到站点的 VPN

流程

1. 将带有主机到主机 VPN 配置的文件复制到新文件中，例如：

   # cp /etc/ipsec.d/my_host-to-host.conf /etc/ipsec.d/my_site-to-site.conf

2. 在上一步创建的文件中添加子网配置，例如：

   conn mysubnet
        also=mytunnel
        leftsubnet=192.0.1.0/24
        rightsubnet=192.0.2.0/24
        auto=start
   
   conn mysubnet6
        also=mytunnel
        leftsubnet=2001:db8:0:1::/64
        rightsubnet=2001:db8:0:2::/64
        auto=start
   
   # the following part of the configuration file is the same for both host-to-host and site-to-site connections:
   
   conn mytunnel
       leftid=@west
       left=192.1.2.23
       leftrsasigkey=0sAQOrlo+hOafUZDlCQmXFrje/oZm [...] W2n417C/4urYHQkCvuIQ==
       rightid=@east
       right=192.1.2.45
       rightrsasigkey=0sAQO3fwC6nSSGgt64DWiYZzuHbc4 [...] D/v8t5YTQ==
       authby=rsasig

3. 如果您在具有 DHCP 或无状态地址自动配置(SLAAC)的网络中使用此主机，则连接可能容易被重定向。有关详情和缓解步骤，请参阅将 VPN 连接分配给专用路由表，以防止连接绕过隧道。