web-dev-qa-db-ja.com

strongswanを使用して、auto = addとauto = startの違いは何ですか?

このドキュメント はかなりあいまいです。

iPsecの起動時に自動的に実行する必要がある操作(ある場合)。 addは接続を開始せずにロードします。routeは接続をロードし、カーネルトラップをインストールします。 leftsubnetとrightsubnetの間でトラフィックが検出されると、接続が確立されます。 startは接続をロードしてすぐに起動します。ignoreは接続を無視します。これは、構成ファイルから接続を削除することと同じです。ローカルにのみ関連し、他の端はそれに同意する必要はありません。

接続を開始せずにすぐに起動するのではなく、接続をロードするとはどういう意味ですか?誰でも簡単な例を提供できますか?

networkingipsecstrongswan
3
Evan Carroll

StrongSwan wikiの 紹介ドキュメント には、これに関するいくつかの情報があります。接続を開始する3つのオプションは次のとおりです。

  • 手動で(またはリモートピアによって):_auto=add_を使用した接続がロードされますが、その後自動的に何も起こりません。その後、_ipsec up <name>_を使用して手動で開始できます(単一のホスト名/ IPがrightで構成されている場合)。

    このような接続では、rightで構成されているものとIPが一致する場合、リモートピアが接続を開始することもできます(クライアントのIPアドレスが一般に不明であるリモートアクセスシナリオでは、_right=%any_を使用した接続がよく見られます)。

  • 自動的に:_auto=start_を使用すると、接続がロードされ、IKEデーモンがrightで構成されたリモートホストへの接続をすぐに開始します。これは基本的に、IKEデーモンが開始された直後にこれらの接続に対して_ipsec up_を手動で呼び出すのと同じです。

  • オンデマンド:IKEデーモンは_auto=route_で接続をロードし、_left|rightsubnet_で構成されたトラフィックセレクターに基づいてトラップポリシーをインストールします、基になるIPsec実装では、たとえばLinuxカーネル。カーネルが後でこれらのポリシーに一致するトラフィックを検出すると、IKEデーモンに接続の開始を要求します。

    このような接続は、_ipsec up_を使用して手動で開始することもできます。

    さらに、_ipsec unroute_を使用して後でカーネルにインストールされたポリシーを削除することもできます。接続は、_auto=add_で追加されたものと同じステータスになります。同様に、_auto=add_(または_auto=start_)でロードされた接続は、_ipsec route_を使用してroutedできます。

8
ecdsa

auto=startトンネルがシャットダウンされた場合、トンネルは再確立されません。これにより、サーバーを再起動(またはipsecを再起動)したときにトンネルが完全に起動する問題が発生する可能性がありますが、しばらくすると失敗します。一方、auto=route、strongswanは、対象のトラフィックを検出するたびにトンネルが稼働していることを確認します。

3
user189271

auto=addは、接続をリスニング状態で追加します-リモートエンドが接続を開始する準備ができています。

auto=startは接続を追加し、リモートへの接続を開始しようとします。

したがって、一般的には、1つのピア(左または右)をauto=addに、もう一方の端をauto=startにしたいとします。

0
fukawi2