Desculpe, isso não está respondendo à sua pergunta "quão seguro ...", mas isso pode atrapalhar seu problema. Você já tentou xauth_psk_server e colocando "save_passwd on"; na sua seção mode_cfg do racoon.conf?
Isso permite que meu iPod antigo (Versão 4.2.1) armazene em cache um nome de usuário & senha. Aqui está o meu racoon.conf:
path pre_shared_key "/etc/racoon/psk.txt";
listen {
adminsock disabled;
}
remote anonymous {
exchange_mode aggressive;
my_identifier address;
proposal_check strict;
generate_policy on;
nat_traversal on;
dpd_delay 20;
ike_frag on;
proposal {
encryption_algorithm aes;
hash_algorithm sha1;
authentication_method xauth_psk_server;
# pre_shared_key
# rsasig (for plain RSA authentication)
# gssapi_krb
# hybrid_rsa_server hybrid_rsa_client
# xauth_rsa_server xauth_rsa_client
# xauth_psk_server xauth_psk_client
dh_group modp1024;
}
}
mode_cfg {
network4 10.99.99.2;
pool_size 253;
netmask4 255.255.255.0;
auth_source pam;
# dns4 10.99.99.1;
# wins4 10.0.12.1;
banner "/etc/racoon/motd";
pfs_group 2;
# Allow client to cache password:
save_passwd on;
split_dns "ad5ey.net";
split_network include 10.99.99.0/24;
}
sainfo anonymous {
pfs_group 2;
lifetime time 1 hour;
encryption_algorithm aes;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}
Com o meu iPod (e meu MacBook), seleciono "Cisco IPSec" para o tipo de VPN e, em seguida, invento um nome de grupo e um segredo compartilhado para o seu psk.txt.
# Example psk.txt
coolgroup bigsecret
Agora a pergunta é: Quão seguro é o xauth_psk com um segredo de grupo compartilhado? (Isso pode não ser seguro para um ambiente corporativo, porque outros funcionários podem reciclar o segredo compartilhado do grupo para falsificar o servidor vpn para outros funcionários e depois farejar nomes de usuários e senhas ... (runonsentencefun), mas é bom o suficiente para o meu iPod quando eu não compartilhe meu grupo com ninguém.)