StrongSwan (как респондент) выбирает настроенное соединение (раздел conn в ipsec.conf) для каждого намерения входящего обмена ключами инициатора.
В какое время strongSwan выбирает конфигурацию подключения? Сужает ли он возможные связи одну за другой на основе уже собранных знаний?
Например. при обмене IKEv2 первый пакет еще не содержит идентификатор («rightid»), но соединения с keyexchange=ikev1 уже исключены.
Первый ответ (в случае отсутствия файлов cookie) уже должен указывать на алгоритмы, выбранные для IKE SA, поэтому некоторые подключение должно быть выбрано. Как мог StrongSwan сделать это в тот момент?
Как мог StrongSwan сделать это в тот момент?
Предварительная конфигурация выбирается исходя из IP-адресов (слева | справа) и версию IKE. Наилучшее соответствие (или первое, если несколько конфигураций совпадают одинаково хорошо) используется до тех пор, пока не станут доступны идентификаторы в обмене IKE_AUTH.
Используя идентификаторы, переключение на другое соединение произойдет в зависимости от значений в слева | правый (и снова версия IKE). Все подходящие соединения являются кандидатами (сначала наилучшее совпадение), которые позже могут быть переключены, например на основе раундов аутентификации и ограничений, таких как rightca или правые группы.