本教程left设置strongswan时使用参数,同时本教程也使用leftid参数。left和 和有什么区别leftid?
更新
我在 aws ec2 上设置strongswan,配置如下:
conn aws-to-corp
authby=secret
#left=%any
left=52.82.6.111
leftid=52.82.6.111
leftsubnet=172.30.0.0/20
right=223.71.239.218
rightsubnet=192.168.1.0/24
ike=3des-md5-modp1024!
esp=3des-md5!
keyingtries=0
ikelifetime=1h
lifetime=8h
dpddelay=30
dpdtimeout=120
dpdaction=restart
auto=start
当我设置时left=%any,strongswan工作正常,但是当我设置时left=52.82.6.111,出现一些错误/var/log/syslog:
谁能解释为什么会发生这种情况?
答案1
其中定义了本地 IP 地址 ,left除非应受到限制,否则不必指定该地址。另一种leftid是身份验证期间使用的本地身份,默认为本地 IP 地址或本地证书的主题 DN(如果已配置)。
请注意,约定是使用left...本地设置选项和right...远程设置选项,但如果在right本地找到 IP,它们可能会被交换。
请参阅 ipsec.conf ( man ipsec.conf) 的手册页或conn 部分的 wiki 页面了解详情。
您无法设置left未安装在任何本地接口上的 IP 地址。正如您在日志中看到的,守护进程将无法从该地址发送数据包。同样,入站请求会被丢弃,因为目标地址与配置(消息)不匹配no IKE config found for ...。因此,要么不配置它(与将其设置为相同%any),要么配置可以发送/接收数据包的本地地址(例如172.30.13.1在您的情况下)。