嗨,所有

我必须配置一个IPSec链接到客户端，这是我以前从未做过的，现在我已经习惯了在WireGuard中设置允许的地址，我想知道是否有类似的事情我可以为IPSec做?

我有各种各样的设备分散在不同的范围内，我想让他们访问，但阻止其他一切。

什么好主意吗?

谢谢,
R

裸IPsec中的流量选择器的工作原理与Wireguard类似allowed-address列表，但是当您提到各种范围时，请注意策略的数量可能非常多，因为您可能需要为每个元组(本地子网、远程子网)配置一个策略，这取决于远程对等体如何配置它。使用0.0.0.0/0 <-> 0.0.0.0/0很少是一个解决方案，因为裸IPsec流量选择器取代了“正常”路由的结果，所以如果您使用此流量选择器为隧道策略选择流量，则需要其他策略来免除本地流量被此流量拦截。

因此，根据您自己决定设计的程度以及您必须适应的程度，可能最好使用带有“正常”路由和防火墙规则的“超越IPsec”隧道，或者最好使用裸IPsec。

Howsit辛迪

好吧，看来我被IPSec困住了，所以我必须弄清楚。

所以，如果我理解正确的话，我可以为同一个对等体指定多个策略，以指示多个IP /范围，对吗?
他们是否有办法“伪装”链接来访问我在“策略”下指定的任何内容?我看到IPSec并没有创建一个“接口”，所以(至少在我看来)尝试通过防火墙来连接是很棘手的。

另外，我是发起人

谢谢,
R

好吧，看来我被IPSec困住了，所以我必须弄清楚。

这是很清楚的，但仍然不清楚的是，有多少IPsec设置已经具体设置，以及有多少可以根据自己的需要设置。

所以，如果我理解正确的话，我可以为同一个对等体指定多个策略，以指示多个IP /范围，对吗?

几乎-不是多个子网，而是本地和远程子网的多个组合。因此，如果您在本端有子网A和B，在远端有子网1、2、3，则需要针对A1、A2、A3、B1、B2、B3组合的单独策略。

他们是否有办法“伪装”链接来访问我在“策略”下指定的任何内容?

通常可以在应用程序客户端使用masquerade/srcnat，但在应用程序服务器端要复杂得多(在这种情况下需要端口转发)。流量选择是在完成所有防火墙处理(包括src-nat)之后进行的。因此，如果将整个客户端站点通过src-nat转换为单个地址，则只能使用服务器站点上的子网数量(应用程序智能客户端可能不是ipsec智能启动器)。

我看到IPSec并没有创建一个“接口”，所以(至少在我看来)尝试通过防火墙来连接是很棘手的。

从防火墙的角度来看，您只需引用IP地址，而不必引用接口名称。没有虚拟接口的其他含义要糟糕得多

我建议提供商也许可以研究一些更简单的东西，比如L2TP/IPSec，因为这似乎是他们第一次实现IPSec，我认为从长远来看，这对他们来说不会很好。

从我的角度来看，我仍然需要限制他们访问几个子网上的几个随机ip，但我不知道如何做到这一点。地址列表只能在一个子网内使用单个IP或一组范围，我看不到在防火墙规则中使用多个地址列表的方法。

对如何做到这一点有什么建议吗?

谢谢,
R

访问列表的概念是它由多个项目组成。所以用相同的数相加列表价值与不同地址物品。

天啊，现在看起来太明显了，从来不知道你可以用相同的名字添加多行。

谢谢辛迪