我使用 strongswan 进行 IKEV2 和 IPSEC。我不知道如何保持更新,以及在更改重启时运行等。
为了启动服务我使用:
systemctl 状态 strongswan
之后我需要输入
ipsec 启动 vpn
当一方与网络断开连接或任何其他原因时,我每次都需要输入 ipsec 启动 vpn...
是否有任何选项可以使一些自动更新?
Ubuntu 18
/etc/ipsec.conf
# ipsec.conf - strongSwan IPsec configuration file
# basic configuration
config setup
charondebug="ike 1, knl 1, cfg 0"
uniqueids=no
conn vpn
compress=no
type=tunnel
keyexchange=ikev2
ike=aes256-sha256-modp2048
esp=aes256-sha256-modp2048
ikelifetime = 24h
lifetime = 30m
dpddelay = 120s
left=%any
leftsourceip=%config
leftcert=/etc/ipsec.d/certs/client1.crt
leftid=client1@xxxxxxx
leftfirewall=yes
right=xxxxxxx
rightsubnet=172.2.0.0/18
rightid="CN=xxxxxxxx"
rightauth=eap-mschapv2
auto=add
eap_identity=%identity
一边是 Mikrotik CCR,另一边是 Ubuntu 18,两者都有 IP,但没有 NAT 穿越。
VPN 可以工作了,我只需要知道如何在 UBUNTU 上创建自动启动,以便在重置等情况下启动并保持 VPN 正常运行。
答案1
我认为斯特朗斯旺重启时启动,因为您没有提到使用systemctl start strongswan
(您引用的命令systemctl status strongswan
只是告诉您服务是否正在运行)。如果不是这种情况,您需要启用该服务:
systemctl enable strongswan
在里面连接部分你需要指定应该斯特朗斯旺在启动时以及远程对等端关闭连接或死亡时执行的操作。因此添加如下内容:
auto=start
dpdaction=hold
closeaction=hold
动作的含义在手册页基本上,您希望隧道在服务器启动时启动,而如果隧道被故意关闭(接近动作)或由于网络问题(dpdaction)斯特朗斯旺将安装一个陷阱,在下次需要时尝试将其带回来,留出时间给另一个对等体进行恢复。