- ipsec.secrets配置文件可写成 : PSK "psk" 会读取ipsec.conf 的 left 和 right 配置
- type=start 可自动触发协商
strongswan up dualistic
type=route | add 需要手动触发协商
strongswan down dualistic -
conn %default #定义连接项, 命名为 %default 所有连接都会继承它 compress = yes #是否启用压缩, yes 表示如果支持压缩会启用. dpdaction = hold #当意外断开后尝试的操作, hold, 保持并重连直到超时. dpddelay = 30s #意外断开后尝试重连时长 dpdtimeout = 60s #意外断开后超时时长, 只对 IKEv1 起作用 inactivity = 300s #闲置时长,超过后断开连接. leftdns = 8.8.8.8,8.8.4.4 #指定服务端与客户端的dns, 多个用","分隔 rightdns = 8.8.8.8,8.8.4.4
leftsendcert = always #是否发送服务器证书到客户端
rightsendcert = never #客户端不发送证书 -
conn IKEv2-EAP keyexchange=ikev2 #默认的密钥交换算法, ike 为自动, 优先使用 IKEv2 left=%any #服务器端标识,%any表示任意 leftid= 你的服务器公网ip #服务器端ID标识,你的服务器公网ip(99.99.99.99) leftsubnet=0.0.0.0/0 #服务器端虚拟ip, 0.0.0.0/0表示通配. leftcert = server.cert.pem #服务器端证书 leftauth=pubkey #服务器校验方式,使用证书 right=%any #客户端标识,%any表示任意 rightsourceip = 10.1.0.0/16 #客户端IP地址分配范围 rightauth=eap-mschapv2 #eap-md5#客户端校验方式#KEv2 EAP(Username/Password) also=IKEv2-BASE eap_identity = %any #指定客户端eap id rekey = no #不自动重置密钥 fragmentation = yes #开启IKE 消息分片 auto = add #当服务启动时, 应该如何处理这个连接项. add 添加到连接表中. -
#ipsec.secrets - strongSwan IPsec secrets file #使用证书验证时的服务器端私钥 #格式 : RSA <private key file> [ <passphrase> | %prompt ] : RSA server.key.pem #使用预设加密密钥, 越长越好 #格式 [ <id selectors> ] : PSK <secret> admin : PSK "123456" #EAP 方式, 格式同 psk 相同 (用户名/密码 例:oneAA/oneTT) admin : EAP "123456" #XAUTH 方式, 只适用于 IKEv1 #格式 [ <servername> ] <username> : XAUTH "<password>" admin : XAUTH "123456"