A pilha de rede do FreeBSD suporta IPsec , mas é apenas a camada inferior de conexões VPN baseadas em IPsec.
Se você não quiser configurar associações de segurança (SAs) manualmente (com chaves de criptografia / autenticação que precisa colocar com segurança nos dois lados e precisar substituí-las regularmente), será necessário usar um daemon de digitação que implemente o < href="https://en.wikipedia.org/wiki/Internet_Key_Exchange"> protocolo Internet Key Exchange (IKE) para automatizar isso. O strongSwan implementa ambas as versões desse protocolo e permite a configuração e substituição de SAs automaticamente, portanto, os hosts são autenticados com segurança (por exemplo, usando certificados X.509) e as chaves são geradas dinamicamente usando, por exemplo, a troca de chaves Diffie-Hellman .
O strongSwan opera como um daemon userland que se comunica com o kernel do FreeBSD usando o protocolo PF_KEYv2 para configurar o IPsec negociado SAs e políticas (que definem qual tráfego é protegido por qual SA) na pilha de rede.
o racoon é um daemon alternativo, mas implementa apenas o protocolo IKEv1 e não é mais desenvolvido ativamente (a menos que você considere seus garfos em, por exemplo, iOS / OS X e Android). O pacote ipsec-tools que fornece racoon também vem com setkey , que pode ser usado para codificação manual, mas também permite consultar o estado do kernel. Portanto, esse utilitário pode ser útil mesmo quando se usa outros daemons de codificação, como strongSwan, para verificar se as SAs e as políticas instaladas estão como deveriam.