Estamos em processo de substituição de um servidor Microsoft TMG por um servidor CentOS. Para VPN, decidimos usar o strongswan devido a instabilidades com o libreswan. Mas, strongswan tem alguns problemas estranhos com várias sub-redes em ambos os lados. A configuração de trabalho atual (libreswan) tem leftsubnets={10.x.x.0/24,172.y.y.0/24}e rightsubnets={10.y.y.0/24,172.z.z.0/24}. Como portar esta configuração do libreswan para o strongswan? Eu tentei fazer várias conexões com um único leftsubnet e rightsubnet em cada um, o arquivo de configuração parece ser analisado corretamente, mas nenhum SA é estabelecido (conectando 0, up 0). Eu sinto falta de alguma coisa?
A configuração atual é assim:
conn hmmm
left=86.x.x.x
right=y.y.y.84
keyexchange=ikev1
authby=secret
type=tunnel
auto=start
ike=aes256-sha1-modp1024
rekey=yes
leftsubnet=10.x.x.0/24
rightsubnet=10.y.y.0/24
conn hmmm-2
also=hmmm
leftsubnet=172.y.y.0/24
rightsubnet=172.z.z.0/24
Os logs dizem "sem proposta", no entanto, essa configuração IKEv1 é o que funcionou com o libreswan. A outra extremidade é o Cisco ASA sob nosso controle, mas como precisamos de uma troca in-loco de firewalls, não podemos realizar upgrade de conexão para IKEv2.
Esta configuração perde
espo parâmetro para especificar os parâmetros de modo rápido IKEv1 a serem usados com a conexão IPsec em questão. Só isso. Parâmetros extras foramleftauth=pskerightauth=pskpara estar em conformidade com a sintaxe não obsoleta (authbyestá obsoleto),mobike=noapenas no caso,ikelifetime=8helifebytes=4608000000para corresponder às configurações de vida útil do SA do outro lado. Esta é a linha que falta:Eu esperava que o ESP usasse os parâmetros IKE para configurar SAs de modo rápido, mas provavelmente interpretei mal o manual.