IPSec配置

 

1. ipsec.secrets配置文件可写成        : PSK "psk"   会读取ipsec.conf 的 left 和 right 配置
2. type=start 可自动触发协商
   

   strongswan up dualistic

   
   type=route | add 需要手动触发协商
   

   strongswan down dualistic

    

4. conn %default  #定义连接项, 命名为 %default 所有连接都会继承它
        compress = yes #是否启用压缩, yes 表示如果支持压缩会启用.
        dpdaction = hold #当意外断开后尝试的操作, hold, 保持并重连直到超时.
        dpddelay = 30s #意外断开后尝试重连时长
        dpdtimeout = 60s #意外断开后超时时长, 只对 IKEv1 起作用
        inactivity = 300s #闲置时长,超过后断开连接.
        leftdns = 8.8.8.8,8.8.4.4 #指定服务端与客户端的dns, 多个用","分隔
        rightdns = 8.8.8.8,8.8.4.4
        leftsendcert = always #是否发送服务器证书到客户端 
        rightsendcert = never #客户端不发送证书
   

    

5. conn IKEv2-EAP  
        keyexchange=ikev2       #默认的密钥交换算法, ike 为自动, 优先使用 IKEv2
        left=%any       #服务器端标识,%any表示任意  
        leftid= 你的服务器公网ip     #服务器端ID标识，你的服务器公网ip(99.99.99.99)  
        leftsubnet=0.0.0.0/0        #服务器端虚拟ip, 0.0.0.0/0表示通配.  
        leftcert = server.cert.pem     #服务器端证书  
        leftauth=pubkey     #服务器校验方式，使用证书  
        right=%any      #客户端标识，%any表示任意  
        rightsourceip = 10.1.0.0/16    #客户端IP地址分配范围  
        rightauth=eap-mschapv2  #eap-md5#客户端校验方式#KEv2 EAP(Username/Password)   
        also=IKEv2-BASE
        eap_identity = %any #指定客户端eap id
        rekey = no #不自动重置密钥
        fragmentation = yes #开启IKE 消息分片
        auto = add  #当服务启动时, 应该如何处理这个连接项. add 添加到连接表中.

    

6. #ipsec.secrets - strongSwan IPsec secrets file
   
   #使用证书验证时的服务器端私钥
   #格式 : RSA <private key file> [ <passphrase> | %prompt ]
   : RSA server.key.pem
   
   #使用预设加密密钥, 越长越好
   #格式 [ <id selectors> ] : PSK <secret>
   admin : PSK "123456"
   
   #EAP 方式, 格式同 psk 相同 (用户名/密码 例：oneAA/oneTT)
   admin : EAP "123456"
   
   #XAUTH 方式, 只适用于 IKEv1
   #格式 [ <servername> ] <username> : XAUTH "<password>"
   admin : XAUTH "123456"

    

7.