Estou usando o Strongswan para lidar com conexões IPsec e preciso de uma maneira de oferecer suporte a clientes Windows (IKEv2) e OS X (IKEv1). Eu preferiria usar o IPsec puro (ou seja, evitar a configuração do L2TP), a menos que haja uma razão convincente para usar o L2TP / IPsec.
Eu sei que você pode configurar o Strongswan no ipsec.conf para que algumas conexões usem o IKEv1, enquanto outras usam o IKEv2. No entanto, no meu caso, não consigo configurar facilmente configurações de conexão separadas para cada usuário porque o endereço IP do qual elas se conectarão não será conhecido antecipadamente. Eu uso apenas uma configuração de conexão única para todos os nossos usuários.
É possível ter alguns usuários conectados por meio de uma configuração de conexão IKEv1 e outros através de uma configuração de conexão IKEv2, ou configurar uma configuração de conexão única que manipule as conexões IKEv1 e IKEv2? Se não, qual seria a maneira mais fácil de suportar os clientes IPsec internos do Windows e do OS X (com o Strongswan ou algum outro pacote IPsec)?
Sim, você pode fazer IKEv1 e IKEv2 simultaneamente, desde que os dois pluto e charon estejam instalados e os daemons em execução. Use isso em sua configuração:
charonstart=yes
plutostart=yes
E use os parâmetros keyexchange nas seções ipsec.conf conn :
conn foo
...
keyexchange=ikev2
...
conn bar
...
keyexchange=ikev1
...
Tags ipsec strongswan