Quando e com quais parâmetros o strongSwan seleciona uma conexão?

1

StrongSwan (como respondedor) seleciona uma conexão configurada (seção conn em ipsec.conf ) para cada intenção de troca de chave do inicializador de entrada.

Em que momentos o strongSwan escolhe uma configuração de conexão? Ela restringe conexões possíveis uma a uma com base no conhecimento coletado até o momento?

Por exemplo em uma troca IKEv2, o primeiro pacote ainda não contém o identificador ("rightid"), mas as conexões com keyexchange=ikev1 já estão fora de questão.

A primeira resposta (caso nenhum cookie esteja envolvido) já deve indicar os algoritmos selecionados para o IKE SA, então alguma conexão deve ser selecionada. Como o strongSwan poderia fazer isso nesse ponto?

    
por Robert Siemer 29.07.2015 / 02:31

1 resposta

1

How could strongSwan possibly do this at that point?

Uma configuração preliminar é selecionada com base nos endereços IP ( left | right ) e na versão IKE. A melhor correspondência (ou a primeira se várias configurações coincidirem igualmente bem) é usada até que as identidades na troca IKE_AUTH estejam disponíveis.

Usando as identidades, um switch para uma conexão diferente ocorrerá com base nos valores em left | rightid (e novamente na versão IKE). Todas as conexões correspondentes são candidatas (melhor correspondência primeiro) que podem ser alternadas posteriormente para, por exemplo, com base nas rodadas de autenticação e restrições como rightca ou rightgroups .

    
por 29.07.2015 / 10:47