据我了解,FreeBSD 自带建立 VPN 连接的能力。
Strongswan 是一个软件包,位于 freebsd ipsec 堆栈之上,还是一个替代品?
答案1
FreeBSD 的网络堆栈支持网络安全协议,但这只是基于 IPsec 的 VPN 连接的较低层。
如果您不想手动配置安全关联 (SA)(需要将加密/身份验证密钥安全地放置在两端并且必须定期更换),您将需要使用一个密钥守护进程来实现互联网密钥交换 (IKE) 协议自动化这个。 StrongSwan 实现该协议的两个版本,并允许自动设置和替换 SA,从而安全地对主机进行身份验证(例如使用 X.509 证书),并且使用例如迪菲-赫尔曼密钥交换。
StrongSwan 作为用户态守护进程运行,使用以下命令与 FreeBSD 内核进行通信:PF_KEYv2协议以便在网络堆栈中配置协商的 IPsec SA 和策略(定义哪些流量受哪个 SA 保护)。
浣熊是一个替代的密钥守护进程,但它仅实现 IKEv1 协议,并且不再积极开发(除非您考虑它在 iOS/OS X 和 Android 中的分支)。这ipsec工具提供的包浣熊还配有设置键,它可用于手动键入,但也允许查询内核状态。因此,即使在使用 StrongSwan 等其他密钥守护进程来检查安装的 SA 和策略是否正常时,该实用程序也可能很有用。