Вопрос: Одновременная поддержка соединения IKEv1 и IKEv2 в Strongswan


Я использую Strongswan для работы с IPsec-соединениями, и вам нужен способ поддержки клиентов Windows (IKEv2) и OS X (IKEv1). Я бы предпочел использовать чистый IPsec (т. Е. Не устанавливать L2TP), если нет веских причин использовать L2TP / IPsec.

Я знаю, что вы можете настроить Strongswan в ipsec.conf, чтобы некоторые подключения использовали IKEv1, тогда как некоторые другие соединения используют IKEv2. Однако в моем случае я не могу легко настроить отдельные конфигурации соединений для каждого пользователя, потому что IP-адрес, с которого они будут подключаться, не будет известен заранее. Я просто использую единую конфигурацию подключения для всех наших пользователей.

Возможно ли подключить некоторых пользователей через конфигурацию соединения IKEv1 и другие через конфигурацию соединения IKEv2 или настроить одну конфигурацию соединения, которая будет обрабатывать соединения IKEv1 и IKEv2? Если нет, то каким будет самый простой способ поддержки как внутренних, так и для OS X клиентов IPsec (с помощью Strongswan или другого пакета IPsec)?


6
2017-09-14 18:09


Источник




Ответы:


Да, вы можете делать IKEv1 и IKEv2 одновременно, пока у вас есть оба pluto а также charon и демоны. Используйте это в настройке конфигурации:

charonstart=yes
plutostart=yes

И используйте keyexchange параметров в вашем ipsec.conf«s conn разделы:

conn foo
  ...
  keyexchange=ikev2
  ...

conn bar
  ...
  keyexchange=ikev1
  ...

3
2017-09-14 19:42



Благодарю. Я знал об этом. Как указано в вопросе: «Я не могу легко настраивать отдельные конфигурации соединений для каждого пользователя, потому что IP-адрес, из которого они будут подключаться, не будет известен заранее».  Итак, как мне настроить отдельные разделы подключения, если я не знаю IP-адрес клиента заранее? Другими словами, как Strongswan знает, какой раздел подключения использовать для нового соединения? У меня создается впечатление, что соединение выбрано до IKE используется, это правильно? - Alex
@Alex Поскольку соединение выполняется с IKE, либо v1, либо v2, у strongSwan нет проблем с выбором правильной конфигурации. Но в версиях до 5.x два демона будут использовать все конфиги в качестве ответчика независимо от того, какое значение было установлено для keyexchange (т. Е. Эта опция не влияет на респондентов, это влияет только на инициаторов). Конечно, не все конфиги действительно будут работать с обеими версиями протокола, поэтому все равно может быть, что конфиг загружается только одним демоном. Во всяком случае, в текущих выпусках (где есть только один демон IKE) версия протокола учитывается при выборе конфигураций. - ecdsa
Я просто проверил это, и вы абсолютно правы. Благодаря! - Alex