Назад | Перейти на главную страницу

StrongSwan / IPSec: запуск смены ключа вручную

Я пытаюсь проверить производительность моей установки StrongSwan RoadWarrior (Стандартный найден здесь). В рамках этого тестирования мне нужно убедиться, что он правильно меняет ключи. Я не очень хорошо знаком с IPSec, но есть ли способ вручную запустить смену ключей вместо того, чтобы позволить ей истечь в течение срока службы? В настоящее время мой swanctl.conf имеет установленное время смены ключа, которое я мог сократить, но я хотел бы иметь возможность делать это по желанию с помощью одного лайнера.

Перенастройку можно запустить вручную через swanctl/VICI но также с наследием ipsec скрипт (хотя это не задокументировано).

Для swanctl это команда --rekey. IKE или дочернюю SA для смены ключей можно выбрать по имени (--ike/--child) или уникальным идентификатором (--ike-id/--child-id), который можно определить через --list-sas команда. Все сопоставления безопасности, соответствующие указанным селекторам, изменяются, а для сопоставлений безопасности IKE также можно запустить повторную аутентификацию через --reauth вариант. VICI предоставляет те же возможности через rekey() команда, которая swanctl использует.

С ipsec сценарий, недокументированный rekey командование stroke может использоваться утилита, т.е. ipsec stroke rekey <name>. Формат <name> определяет, какой SA изменен, аналогично down команда. Например, используйте name или name[] повторно ввести первую IKE SA с этим именем, или name{} для первого Child SA, введя числа в [] или {} позволяет менять ключи с помощью уникального идентификатора (в этом случае имя необязательно), с name[*] или name{*} все SA с заданным именем изменяются.