文章总结： 本文介绍了strongSwanIPsecVPN管理系统新增网关模式，支持Hub-Spoke架构互联多分支。通过优化IKEv1多网段配置及兼容IKEv2，实现了中心枢纽转发功能。实战验证了多节点及子网的全网互通，该方案适用于企业总部网关或云上枢纽部署。 综合评分： 85 文章分类： 安全建设,解决方案,网络安全

从点到网！我们的strongSwan管理系统支持网关模式了，可作中心枢纽互联多分支

原创

衡水铁头哥

铁军哥

2026年1月10日 07:46 北京

单打独斗已成过去，中枢调度才是未来！大家好，我又来更新基于strongSwan的IPsec VPN管理系统了。

在上个版本中（点击即连！最强IPsec VPN管理系统终于能小白式操作了），我们主要增加了对证书认证的支持，并优化了一些配置体验。

在实际使用中，我们不仅需要通过strongSwan建立点对点的安全连接，还会遇到将strongSwan作为VPN网关使用的场景，也就是作为中转网关来使用，实现类似Hub-Spoke的组网（Wireguard配置HUB-SPOKE组网）。今天我们介绍的这个版本，主要就是完善了这个功能。

正常情况下，IKEv1版本不能很好地支持多网段互联，配置复杂，一般需要使用IKEv2进行配置。针对这个问题，我们优化了自动生成多CHILD_SA的配置，实现了IKEv1对多网段的支持，让strongSwan华丽转身为强大的VPN网关！

本文将通过一个三节点互联的实战案例，完整展示如何配置并验证这一重磅新功能。测试环境如下：

1、我准备了三台Ubuntu主机A、B、C，都已经部署了strongSwan管理系统。

2、主机A、主机C均建立和主机B的IPsec连接，并且通过主机B实现互联互通。

3、主机A下连接了10.11.1.0/24网段，主机C下连接了10.44.1.0/24网段，也需要通过主机B实现互通。

好了，了解了组网情况，我们看一下怎么配置。

首先，配置主机A。

一阶段IKE配置部分正常配置，填入主机A和主机B之间的互联地址。

二阶段IPsec配置部分，考虑到配置会以逗号分隔的形式保存，现在同事增加换行和逗号两种分隔方式，并且支持空白行。

创建完成后，IPsec连接列表中，可以正常展示所有已配置的网段数据。同时，在列表下方，增加了获取底层ipsec statusall连接详情的回显数据，方便实时查看SA协商情况。此外，将IPsec连接列表中的流量汇总为了所有SA的流量总和，单个SA的流量数据通过【SA流量详细统计】模块查看。

接下来，我们重点介绍一下主机B、也就是VPN网关的配置。

一阶段IKE配置部分正常配置，填入主机A和主机B之间的互联地址。

二阶段IPsec配置部分，因为VPN网关本身可能没有实际业务，但是配置的网段需要和主机A相对应。也就是说，主机B的网段配置，应该和主机C是一样的。

这样一来，主机B就和主机A协商好了4个SA。照此方式，我们继续配置主机B和主机C之间的IPsec连接，网段配置如下：

主机C连接主机B的网段配置部分如下所示：

这样，主机A和主机C及其下挂的子网就可以通过VPN网关主机B正常通信了。

检查一下主机B的SA信息。

一共8个SA，整整齐齐。

再测试一下主机A和主机C下挂设备之间的联通性。

测试正常，我们再发一些大包增加一些流量。主机A的收发流量数据如下：

主机B各连接的收发流量数据如下：

主机B各连接的收发流量数据如下：

因为ICMP报文的请求响应报文大小都是一样的，所以看到的流量数据都是8.1 MB，这也能说明主机B作为VPN网关，确实是在转发数据。

百尺竿头，更进一步。接下来，我们将所有主机都调整为使用更先进的IKEv2协议，看看协商是否正常。

没有问题，在下面的【SA流量详细统计】中，我们就可以看到已经是使用IKEv2进行协商了。

再次测试一下业务连通性。

主机A到主机B访问正常。

主机A和主机C下挂设备之间互访正常。

检查主机B的SA信息。

可以看到，原生支持就是不一样，SA数量相对就少一些。而且，同样实现了全网互联，比如主机A可以访问主机C下挂的主机，主机A下挂的主机也可以访问主机C。

通过这次实战，我们成功将strongSwan IPsec VPN管理系统从连接器升级为了枢纽站。自动多CHILD_SA生成功能巧妙地弥补了IKEv1的先天不足，对IKEv2的完善支持则展现了面向未来的适应性。现在，这套系统足以担当企业总部网关、云上网络枢纽等关键角色。

你会首先将这项新功能应用在哪个场景？欢迎在评论区分享你的创意！

***推荐阅读***

无需公网IPv4！手把手教你配置基于IPv6的WireGuard安全隧道

基于IPv6配置openVPN实战：告别双栈难题，一步打通IPv6隧道！

openVPN进阶技巧：如何实现从服务端反向访问客户端内网？

OpenVPN管理竟能如此简单？实时监控、固定IP、强制下线，运维效率翻倍

OpenVPN管理迎来终极形态：支持6种多因子认证，安全等级拉满，运维效率飙升！

点击即连！最强IPsec VPN管理系统终于能小白式操作了

超越SR-MPLS！SRv6实测：基于纯IPv6数据面承载IPv4 VPN业务，体验协议简化之美

验证成功！翼航仿真实训平台完美支持SR-MPLS L3VPN等前沿技术，网络学习利器

Windows系统VPN老掉线？我教你轻松实现VPN开机自启、断线重连，7×24小时稳定守护

2048卡昇腾910C集群RoCEv2算力网建设方案

2048卡昇腾910C集群存储网建设方案

2048卡昇腾910C集群智算中心：业务网深度建设与实施方案

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：铁军哥 衡水铁头哥《从点到网！我们的strongSwan管理系统支持网关模式了，可作中心枢纽互联多分支》