我们正在用 CentOS 服务器替换 Microsoft TMG 服务器。对于 VPN,由于 libreswan 的不稳定性,我们决定使用 strongswan。但是,strongswan 在两边都有几个子网有一些奇怪的问题。当前(libreswan)工作配置具有leftsubnets={10.x.x.0/24,172.y.y.0/24}和rightsubnets={10.y.y.0/24,172.z.z.0/24}. 如何将此 libreswan 配置移植到 strongswan?我尝试使用单个 leftsubnet 和 rightsubnet 制作几个 conns,配置文件似乎已正确解析,但没有建立 SA(连接 0,向上 0)。我错过了什么吗?
当前配置是这样的:
conn hmmm
left=86.x.x.x
right=y.y.y.84
keyexchange=ikev1
authby=secret
type=tunnel
auto=start
ike=aes256-sha1-modp1024
rekey=yes
leftsubnet=10.x.x.0/24
rightsubnet=10.y.y.0/24
conn hmmm-2
also=hmmm
leftsubnet=172.y.y.0/24
rightsubnet=172.z.z.0/24
日志说“没有提议”,但是这个 IKEv1 设置适用于 libreswan。另一端是我们控制的 Cisco ASA,但由于我们需要就地交换防火墙,我们无法执行到 IKEv2 的连接升级。
此配置
esp缺少用于指定要与相关 IPsec 连接一起使用的 IKEv1 快速模式参数的参数。只是。为了以防万一,并且为了匹配另一方的 SA 生命周期设置,额外的参数 wasleftauth=pskandrightauth=psk符合非弃用的语法(authby被弃用) 。这是缺少的行:mobike=noikelifetime=8hlifebytes=4608000000我期待 ESP 使用 IKE 参数来设置快速模式 SA,但可能误读了手册。