Configurar cifras de VPN no Mac OS Server

Estou tentando endurecer a VPN L2TP / IPSec em um servidor El Capitan. Todos os recursos que posso encontrar apenas orientam você na configuração básica (adicionando uma chave compartilhada, etc.) ou são para servidores de terceiros. O mais próximo que eu encontrei foi esta questão , mas ele só fala sobre os padrões, não sobre como substituí-los.

Especificamente, estou tentando fazer as seguintes alterações nas cifras permitidas:

• Código simétrico - somente AES (nada baseado em DES devido ao tamanho de bloco curto), CBC se esse for o melhor disponível, mas o GCM é o preferido, se possível.
• Hash: família SHA2, se possível, especialmente se não for possível usar o GCM.
• Troca de chave: use um grupo Diffie-Hellman de 2048 bits (ou maior) ou use ECDH ou, pelo menos, não use o grupo padrão de 1024 bits, pois ele deve ser considerado comprometido pela NSA ou por equipamentos semelhantes. grupos já (veja WeakDH ).

Não consigo encontrar nada na alteração das cifras padrão suportadas pelo Mac OS Server para VPN. Eu sou novo em servidores Mac (embora confortável em uma linha de comando Unix).

As coisas mais próximas que encontrei são /Library/Server/Configuration/services.mobileconfig , que inclui alguns detalhes básicos sobre configuração de VPN e IPSec, mas nada que pareça controlar cifras, e /Library/Server/Preferences/com.apple.servermgrd.plist , que inclui uma lista de forbiddenSSLCipherSuites (somente por ID inteiro ) mas nada sobre IPSec.