我们正在用 CentOS 服务器替换 Microsoft TMG 服务器。对于 VPN,我们决定使用 strongswan,因为 libreswan 不稳定。但是,strongswan 在两侧的几个子网方面存在一些奇怪的问题。当前(libreswan)工作配置有leftsubnets={10.x.x.0/24,172.y.y.0/24}和rightsubnets={10.y.y.0/24,172.z.z.0/24}。如何将此 libreswan 配置移植到 strongswan?我尝试创建几个连接,每个连接中都有一个左子网和右子网,配置文件似乎被正确解析,但没有建立 SA(连接 0,启动 0)。我是否遗漏了什么?
当前配置如下:
conn hmmm
left=86.x.x.x
right=y.y.y.84
keyexchange=ikev1
authby=secret
type=tunnel
auto=start
ike=aes256-sha1-modp1024
rekey=yes
leftsubnet=10.x.x.0/24
rightsubnet=10.y.y.0/24
conn hmmm-2
also=hmmm
leftsubnet=172.y.y.0/24
rightsubnet=172.z.z.0/24
日志显示“无提议”,但此 IKEv1 设置适用于 libreswan。另一端是我们控制下的 Cisco ASA,但由于我们需要就地更换防火墙,因此我们无法将连接升级到 IKEv2。
答案1
此配置缺少esp用于指定要与相关 IPsec 连接一起使用的 IKEv1 快速模式参数的参数。就是这样。额外的参数是leftauth=psk和rightauth=psk以符合非弃用语法(authby已弃用),mobike=no以防万一,以及ikelifetime=8h和lifebytes=4608000000以匹配另一方的 SA 生存期设置。这是缺少的行:
esp = aes256-sha1-modp1024,aes192-sha1-modp1024,aes128-sha1-modp1024
我原本期望 ESP 使用 IKE 参数来设置快速模式 SA,但可能误读了手册。