StrongswanIKEv1でいくつかの左サブネット
現在、MicrosoftTMGサーバーをCentOSサーバーに置き換える作業を行っています。 VPNについては、libreswanが不安定なため、strongswanを使用することにしました。しかし、strongswanには、両側のいくつかのサブネットにいくつかの奇妙な問題があります。現在の(libreswan)作業構成にはleftsubnets={10.x.x.0/24,172.y.y.0/24}とrightsubnets={10.y.y.0/24,172.z.z.0/24}があります。このlibreswan構成をstrongswanに移植する方法は?それぞれに単一のleftsubnetとrightsubnetを使用して複数の接続を作成しようとしましたが、構成ファイルは適切に解析されているようですが、SAが確立されていません(接続0、接続0)。私は何かが恋しいですか?
現在の構成は次のとおりです。
conn hmmm
left=86.x.x.x
right=y.y.y.84
keyexchange=ikev1
authby=secret
type=tunnel
auto=start
ike=aes256-sha1-modp1024
rekey=yes
leftsubnet=10.x.x.0/24
rightsubnet=10.y.y.0/24
conn hmmm-2
also=hmmm
leftsubnet=172.y.y.0/24
rightsubnet=172.z.z.0/24
ログには「提案なし」と記載されていますが、このIKEv1設定はlibreswanで機能したものです。もう一方の端は私たちの管理下にあるCiscoASAですが、ファイアウォールのインプレーススワップが必要なため、IKEv2への接続アップグレードを実行できません。
この構成では、問題のIPsec接続で使用されるIKEv1クイックモードパラメーターを指定するためのespパラメーターがありません。それだけ。追加のパラメータはleftauth=pskおよびrightauth=psk非推奨でない構文に準拠するため(authbyは非推奨)、mobike=no念のため、そしてikelifetime=8hおよびlifebytes=4608000000反対側のSAライフタイム設定と一致します。これは欠落している行です:
esp = aes256-sha1-modp1024,aes192-sha1-modp1024,aes128-sha1-modp1024
ESP IKEパラメータを使用してクイックモードSAを設定することを期待していましたが、おそらくマニュアルを読み間違えました。