Openswan连接到多个正确的子网不起作用

我正在尝试使用Openswan（版本2.6.37）将IPsec VPN从本地网络连接到远程站点。当我只想连接到远程站点上的单个子网时，一切正常。但是，远程站点也有一个我要访问的额外子网。

这是我的配置：

conn myConn
        type=tunnel
        left=192.168.139.14
        leftsubnet=192.168.139.0/24
        leftxauthclient=yes
        right=X.X.X.X
        rightsubnet=172.16.1.0/24
        keyexchange=ike
        auth=esp
        authby=secret
        phase2alg=3des-sha1
        pfs=yes

当我更换rightsubnet使用rightsubnets，就像这样：

rightsubnets={172.16.1.0/24 192.168.3.0/24}

...然后成功创建了连接，但仅列表中的最后一个子网可用。ping 172.16.1.0子网上的任何内容的任何尝试都会失败。如果我交换子网的顺序，则可以ping 172.16.1.X但不能ping其他子网中的任何内容。好像Openswan仅使用列表中的最后一个子网来创建连接。

我在这里做错什么了吗？

我忽略了一些额外的信息（尽管我不确定它是否相关）：我的Openswan客户端位于使用NAT的路由器后面，并且nat_traversal=yes我的ipsec.conf文件中已有该信息。

看起来多个子网的常用分隔符是逗号，但至少openswan-2.6.32也可以使用空格。

应该记录有趣的信息，/var/log/secure其中可能包含为什么它不起作用的线索。同时发布的输出ip x s sh和ip x p sh。

请conn有关隧道的两个端点每个子网部分配置。它们中只有一个（第一个开始）将启动SA协商，第二个（或更多个）将仅对其他子网进行新的SPD。

如果你使用rightsubnets，你必须使用leftsubnets为好，没有leftsubnet。即使在那一侧只有一个子网。ipsec.conf手册页在解释这一点上做得并不出色，但是确实存在。

我有几个月的类似问题，只是在这里找到了答案：https ://serverfault.com/questions/571352/openswan-multiple-subnets-routing-issue

看来OpenSwan中存在一个错误，子网列表的末尾需要额外的逗号才能正常工作。尝试：

rightsubnets={172.16.1.0/24,192.168.3.0/24,}

注意末尾的逗号。

应该是这样

rightsubnets={172.16.1.0/24,192.168.3.0/24}

请使用逗号（,）而不是空格来分隔条目。