Имеется VPS с белым IP-адресом. Система - Debian 10. Поднят VPN - IKEv2 посредством strongSwan. Авторизация по Логину/Паролю + SSL сертификат (Let's Encrypt). IP-адреса для клиентов выдаются из пула 192.168.103.0/24. Настраивал по этому мануалу -
https://www.krasovsky.me/it/2016/08/strongswan-ikev2/.
Конфигурация strongSwan
файл /etc/ipsec.conf
config setup
# Раскомментируйте, если хотите несколько подключений на один логин
# uniqueids=never
conn %default
dpdaction=clear
dpddelay=35s
dpdtimeout=300s
fragmentation=yes
rekey=no
left=%any
leftsubnet=0.0.0.0/0
leftcert=fullchain.pem
leftfirewall=yes
leftsendcert=always
right=%any
rightsourceip=192.168.103.0/24
rightdns=8.8.8.8,8.8.4.4
eap_identity=%identity
# IKEv2
conn IPSec-IKEv2
keyexchange=ikev2
auto=add
# BlackBerry, Windows, Android
conn IPSec-IKEv2-EAP
also="IPSec-IKEv2"
rightauth=eap-mschapv2
# macOS, iOS
conn IKEv2-MSCHAPv2-Apple
also="IPSec-IKEv2"
rightauth=eap-mschapv2
leftid=vpn.krasovsky.me
# Android IPsec Hybrid RSA
conn IKEv1-Xauth
keyexchange=ikev1
rightauth=xauth
auto=add
include /var/lib/strongswan/ipsec.conf.inc
файл /etc/ipsec.secrets
: RSA privkey.pem
user1 : EAP "password1"
user2 : EAP "password2"
Установлен DHCP сервер dnsmasq для раздачи маршрутов.
файл /etc/dnsmasq.conf
dhcp-vendorclass=set:msipsec,MSFT 5.0
dhcp-range=tag:msipsec,192.168.103.0,static
dhcp-option=tag:msipsec,6
dhcp-option=tag:msipsec,249, 0.0.0.0/1,0.0.0.0, 128.0.0.0/1,0.0.0.0
Вопрос заключается в следующем: Как клиенту с логином "user1" выдать IP-адрес 192.168.103.100, а клиенту с логином "user2" выдать IP-адрес 192.168.103.200? Привязка MAC<->IP не рассматривается, т.к. клиенты будут цепляться с разных устройств. Необходима привязка именно Логин<->IP. При построении PPTP-туннеля это делалось элементарно, почему здесь так нельзя? Или я просто не туда смотрю?
Простой
Средний
Сложный
