Я пытаюсь проверить производительность моей установки StrongSwan RoadWarrior (Стандартный найден здесь). В рамках этого тестирования мне нужно убедиться, что он правильно меняет ключи. Я не очень хорошо знаком с IPSec, но есть ли способ вручную запустить смену ключей вместо того, чтобы позволить ей истечь в течение срока службы? В настоящее время мой swanctl.conf
имеет установленное время смены ключа, которое я мог сократить, но я хотел бы иметь возможность делать это по желанию с помощью одного лайнера.
Перенастройку можно запустить вручную через swanctl
/VICI но также с наследием ipsec
скрипт (хотя это не задокументировано).
Для swanctl это команда --rekey
. IKE или дочернюю SA для смены ключей можно выбрать по имени (--ike/--child
) или уникальным идентификатором (--ike-id/--child-id
), который можно определить через --list-sas
команда. Все сопоставления безопасности, соответствующие указанным селекторам, изменяются, а для сопоставлений безопасности IKE также можно запустить повторную аутентификацию через --reauth
вариант. VICI предоставляет те же возможности через rekey()
команда, которая swanctl
использует.
С ipsec
сценарий, недокументированный rekey
командование stroke
может использоваться утилита, т.е. ipsec stroke rekey <name>
. Формат <name>
определяет, какой SA изменен, аналогично down
команда. Например, используйте name
или name[]
повторно ввести первую IKE SA с этим именем, или name{}
для первого Child SA, введя числа в []
или {}
позволяет менять ключи с помощью уникального идентификатора (в этом случае имя необязательно), с name[*]
или name{*}
все SA с заданным именем изменяются.