/etc/ipsec.conf
我正在使用 Raspberry Pi OS 12 上的 libreswan从外部网络连接 PFsense
config setup
conn %default
#keyexchange=ikev1
conn peer-ipsec.xxx.de-tunnel-1
left=%any
leftid="xx.zapto.org"
right=ipsec.xx.de
rightid="%any"
leftsubnet=10.130.117.0/24
rightsubnet=10.128.0.0/16
ike=aes128-sha256-modp2048
#,aes128-sha256-modp2048!
#keyexchange=ikev2
reauth=no
ikelifetime=28800s
esp=aes128-sha256-modp2048
#,aes128-sha256-modp2048!
keylife=3600s
rekeymargin=540s
type=tunnel
compress=no
authby=secret
auto=route
keyingtries=%forever
(注释掉的部分不被 libreswan 接受) 从/etc/ipsec.secrets( %any %any : PSK "...") 中加载机密信息后,我得到了:
interface endpoint [::1]:4500 does not match left(THIS) or right (THAT)
interface endpoint [::1]:500 does not match left(THIS) or right (THAT)
interface endpoint [127.0.0.1]:4500 does not match left(THIS) or right (THAT)
interface endpoint [127.0.0.1]:500 does not match left(THIS) or right (THAT)
interface endpoint [192.168.2.117]:4500 does not match left(THIS) or right (THAT)
interface endpoint [192.168.2.117]:500 does not match left(THIS) or right (THAT)
ip a-> 192.168.2.117
带有注释部分的相同配置可在 EdgeRouter ER-X (ubiquity) 上运行。
在 pfsense 上:
密钥交换版本:IKEv2
InternetProtocol:IPv4
远程网关:xx.zapto.org
身份验证方法:相互 PSK
我的标识符:我的 IP 地址
对等标识符:完全合格域名 xx.zapto.org
加密算法:AES 128 位 SHA256 DH 组 14(我稍后会改进这一点)
第 2 阶段:
本地网络:网络 10.128.0.0/0
NAT:无
远程网络:网络 10.130.117.0/24
协议:ESP
加密算法:AES 128、AES12-GCM 128 SHA256 PFS 密钥组 14