Мы находимся в процессе замены сервера Microsoft TMG на сервер CentOS. Для VPN мы решили использовать strongswan из-за нестабильности с libreswan. Но у strongswan есть некоторые странные проблемы с несколькими подсетями с обеих сторон. Текущая (libreswan) рабочая конфигурация имеет leftsubnets={10.x.x.0/24,172.y.y.0/24} и rightsubnets={10.y.y.0/24,172.z.z.0/24}. Как перенести эту конфигурацию libreswan на strongswan? Я попытался создать несколько подключений с одной левой подсетью и правой подсетью в каждой, файл конфигурации, кажется, анализируется правильно, но не устанавливаются SA (подключение 0, вверх 0). Я что-то упускаю?
Текущая конфигурация такая:
conn hmmm
left=86.x.x.x
right=y.y.y.84
keyexchange=ikev1
authby=secret
type=tunnel
auto=start
ike=aes256-sha1-modp1024
rekey=yes
leftsubnet=10.x.x.0/24
rightsubnet=10.y.y.0/24
conn hmmm-2
also=hmmm
leftsubnet=172.y.y.0/24
rightsubnet=172.z.z.0/24
Журналы говорят «нет предложений», однако эта настройка IKEv1 работает с libreswan. Другой конец - это Cisco ASA, находящаяся под нашим контролем, но поскольку нам нужна замена межсетевых экранов на месте, мы не можем выполнить обновление соединения до IKEv2.
Эта конфигурация отсутствует esp для указания параметров быстрого режима IKEv1, которые будут использоваться с рассматриваемым подключением IPsec. Только то. Дополнительные параметры были leftauth=psk и rightauth=psk чтобы соответствовать нерекомендуемому синтаксису (authby устарела), mobike=no на всякий случай и ikelifetime=8h и lifebytes=4608000000 чтобы соответствовать настройкам времени жизни SA другой стороны. Это недостающая строка:
esp = aes256-sha1-modp1024,aes192-sha1-modp1024,aes128-sha1-modp1024
Я ожидал, что ESP будет использовать параметры IKE для настройки сопоставлений безопасности быстрого режима, но, вероятно, неправильно прочитал руководство.