Dotaz: IPsec - polofunkcny split-tunneling

Zdravim.

Mam IPsec IKEv2 road warriors server na Mikrotiku s roznymi klientmi (Linux, FreeBSD, Apple, Windows, Mikrotik, Android). Cez modeconfig im posielam konkretne subnety, ktore chcem pretlacat cez VPN-ku, napr.:

[admin@ipsec-gw] > ip ipsec mode-config print
...
 1  R name="client1" system-dns=no static-dns="" address=172.10.0.17 address-prefix-length=32 
      split-include=192.168.1.0/24,192.168.16.0/20,172.20.3.0/24 split-dns=""

Problem je, ze jedine systemy, kde to funguje OOTB, su Mikrotik a Windows (nativna IPsec VPN). Ostatni klienti (Linux network-mananger so strongswan pluginom, strongswan ^[1] (stary config ipsec.conf, aj novy swanctl.conf), Apple, Android ^[2]...) pouziju vzdy len prvy definovany rozsah a ostatne ignoruju.

[1] Tu sa mi podarilo dosiahnut pozadovany stav definovanim samostatnej conn, resp. children, pre kazdy subnet.

[2] V Android-e (strongswan app) sa daju rucne zadat split-tunneling rozsahy, takze tu to ako tak funguje.

Lokalne siete viem pretlacit cez jeden vacsi subnet, ale potrebujem pridat este dalsie uplne ine rozsahy.

Na nete som nasiel viac takychto pripadov, ale ziadne riesenie.

Vdaka.

Používám jako server Strongswan a pro Windows a iOS mám konfigurační profil. Na Androidu se Strongswan klientem mi to funguje a tam tedy nic neřeším.
Vzhledem k tomu, že mám specifický subnet, tak mi to moc nevadí a dál jsem to neřešil.
Dle dokumentace, co jsem se obecně díval do Strongswanu, je nejlepší pro pushování rout L2TP over IPSEC, což je obsolete a na nic.
Takže tak, prostě IKEv2 není vzhledem k routování funkční jako třeba OpenVPN.
Buď to tedy řeš konfiguračními profily pro jednotlivé OS, nebo nedělej split a vše směruj do tunelu (=velký traffic na straně serveru a jeho konektivity), nebo použij jiné řešení.
Každopádně to, že používáš "192.168.1.0/24", je docela problém.
Zdar Max