- A configuração de chaves pré-compartilhadas ainda implica que você usará o protocolo IKE para negociação de chave. E sim, as chaves pré-compartilhadas são consideradas seguras, enquanto não são comprometidas. O mesmo se aplica aos certificados - o esquema PKI é seguro, enquanto as chaves privadas não são comprometidas.
- A única regra simples é que leftsubnet e rightsubnet não devem se sobrepor (por exemplo, não há IPs que pertençam a ambas as sub-redes). Dê uma olhada no diagrama de amostra abaixo ou no Google para obter o arquivo ipsec.conf de amostra no site strongswan.
- Você precisará de pelo menos 2 máquinas virtuais que serão executadas como "Gateways IPsec". Se você quiser mais recursos exóticos (por exemplo, NAT traversal), você também precisará de uma máquina virtual que fará o NATTing (roteador).
Aqui está o diagrama que explica o que é o leftsubnet e o que é o rightsubnet:
Left_computer(192.168.0.2/24)<---> (192.168.0.1/24)Left_ipsec_gateway(Some_left_public_ip)<--->INTERNET<---> (Some_right_public_ip)Right_ipsec_gateway (192.168.1.1/24)<--->(192.168.1.2/24)Right_computer
Left subnet here is 192.168.0.0/24 and right subnet is 192.168.1.0/24.
Para o Left_computer (192.168.0.2/24) você deve especificar Left_ipsec_gateway (192.168.0.1/24) como gateway para Right_subnet (192.168.1.0/24). Normalmente, a rota padrão já faz isso automaticamente para você. Você deve fazer o mesmo para a sub-rede correta também. Além disso, esta é a razão pela qual eu chamo o computador que está executando o StrongSwan como "Gateway IPsec".
Espero que isso ajude. Strongswan tem wiki com diagramas, você pode querer olhar.