<div>Hi Martin,</div><div><br></div><div>Thank you for your reply.</div><div><br></div><div>After some experiments, I finally achieve my initial target by </div><div>ip addr add xxx.xxx.xxx.xxx/32 dev lo</div><div>and some iptables rules for protection.</div><div><br></div><div>I am wondering, regarding the security issues, what is the main differences between the ip addr add and dummy interface methods?</div><div><br></div><div>As this link [1] suggests, the dummy interface can be replaced by the IP alias method. However as far as I know, the IP alias is also an obsolete method as well. Could you please give me some suggestions on that? Thank you.</div><div><br></div><div>Best regards,</div><div>Aries</div><div><br></div><div>[1] http://www.tldp.org/LDP/nag2/x-087-2-iface.interface.html</div><div><div><br></div><div><br></div><div style="font-size: 12px;font-family: Arial Narrow;padding:2px 0 2px 0;">------------------ 原始邮件 ------------------</div><div style="font-size: 12px;background:#efefef;padding:8px;"><div><b>发件人:</b> "Martin Willi";<martin@strongswan.org>;</div><div><b>发送时间:</b> 2014年11月24日(星期一) 下午5:52</div><div><b>收件人:</b> "Aries"<2232491716@qq.com>; <wbr></div><div><b>抄送:</b> "users"<users@lists.strongswan.org>; <wbr></div><div><b>主题:</b> Re: [strongSwan] How to access the service on the server which actas the VPN Gateway as well?</div></div><div><br></div>Hi Aries,<br><br>> The VPN is using IKEv2 and the connections between clients and server<br>> established successfully. The clients are assigned virtual IPs drawn<br>> from a 10.0.0.0/24 pool. The clients can also access each other through<br>> the tunnel without a problem. However I notice that the server itself<br>> which acts as the VPN Gateway does not have a virtual IP address.<br><br>No, strongSwan does not automatically assign an address from that pool<br>to your local host. You can do this manually, though, just make sure it<br>is routable/accessible over the tunnel, and it doesn't conflict with<br>addresses actually handed out from the pool.<br><br>You may install such an address as an additional one to your primary<br>interface, or for better protection create a dummy interface with<br>appropriate routes.<br><br>Regards<br>Martin<br></div>