Suporte de conexão simultânea IKEv1 e IKEv2 em Strongswan

6

Estou usando o Strongswan para lidar com conexões IPsec e preciso de uma maneira de oferecer suporte a clientes Windows (IKEv2) e OS X (IKEv1). Eu preferiria usar o IPsec puro (ou seja, evitar a configuração do L2TP), a menos que haja uma razão convincente para usar o L2TP / IPsec.

Eu sei que você pode configurar o Strongswan no ipsec.conf para que algumas conexões usem o IKEv1, enquanto outras usam o IKEv2. No entanto, no meu caso, não consigo configurar facilmente configurações de conexão separadas para cada usuário porque o endereço IP do qual elas se conectarão não será conhecido antecipadamente. Eu uso apenas uma configuração de conexão única para todos os nossos usuários.

É possível ter alguns usuários conectados por meio de uma configuração de conexão IKEv1 e outros através de uma configuração de conexão IKEv2, ou configurar uma configuração de conexão única que manipule as conexões IKEv1 e IKEv2? Se não, qual seria a maneira mais fácil de suportar os clientes IPsec internos do Windows e do OS X (com o Strongswan ou algum outro pacote IPsec)?

    
por Alex 14.09.2013 / 20:09

1 resposta

3

Sim, você pode fazer IKEv1 e IKEv2 simultaneamente, desde que os dois pluto e charon estejam instalados e os daemons em execução. Use isso em sua configuração:

charonstart=yes
plutostart=yes

E use os parâmetros keyexchange nas seções ipsec.conf conn :

conn foo
  ...
  keyexchange=ikev2
  ...

conn bar
  ...
  keyexchange=ikev1
  ...
    
por 14.09.2013 / 21:42