Я несколько дней боролся с StrongSwan, пытаясь заставить его делать что-то вроде оппортунистического шифрования. Я читал несколько мест, где это должно быть возможно, но не смог найти никаких примеров конфигурации.
Я хочу настроить его таким образом, чтобы сервер StrongSwan не аутентифицировал клиента, а просто позволял им создавать зашифрованное соединение независимо от того, кем они являются. Таким образом, анонимная аутентификация клиента.
Клиенты должны, имея открытый ключ сервера, иметь возможность проверить, что они подключены к правильному серверу.
Т.е. Если сервер действует как общедоступный веб-сервер, каждый должен иметь возможность подключиться - в случае, если они хотят защитить соединение, они могут сначала создать ассоциацию IPSec. (Открытый ключ извлекается через DNS)
Или вы знаете какое-либо другое программное обеспечение IPSec, способное поддерживать «анонимные» клиентские соединения?
пробовали ли вы использовать аутентификацию с использованием открытого ключа и распространять одну пару закрытого и открытого ключей (созданную для этой цели) всем потенциальным клиентам? им уже нужно где-то получить открытый ключ сервера для проверки, так почему бы не использовать «анонимную» пару ключей.
проверить uniqueids = нет / никогда вариант в ipsec.conf и config раздел.