Depois de executar o setkey com o seguinte arquivo de configuração,
add 1.1.1.1 2.2.2.2 esp 2000 -E aes-ctr 0x3333333333333333333333333333333333333333;
add 3.3.3.3 2.2.2.2 esp 2000 -E aes-ctr 0x3333333333333333333333333333333333333333;
... causa uma mensagem de erro (Arquivo Existente) e apenas uma entrada é mostrada com setkey -D . Parece que o par IP + SPI de destino deve ser único (mas vários adds com a mesma fonte IP + SPI são OK), eu me pergunto se é intencional e por quê?
UPDATE : Parece que, para os pacotes IPSEC de entrada, as regras de adição funcionam , independentemente do IP de origem . ou seja, quando eu tenho qualquer uma das duas regras acima no host 2.2.2.2, os pacotes de entrada de qualquer IP de origem com SPI 2000 são aceitos e descriptografados. Isso explica por que recebo a mensagem de erro para a segunda linha, mas ainda não entendi bem por que o IP de origem é ignorado.
Tags ipsec