使用IKEv1的强天鹅几个左子网

Question

我们正在用CentOS服务器替换Microsoft服务器。对于VPN，由于libreswan的不稳定性，我们决定使用强with。但是，strongswan有一些奇怪的问题，两边都有几个子网。当前(libreswan)工作配置具有leftsubnets={10.x.x.0/24,172.y.y.0/24}和rightsubnets={10.y.y.0/24,172.z.z.0/24}。如何将这个libreswan配置移植到strongswan？我试过用单个左子网和右子网创建几个conns，配置文件似乎被正确解析，但是没有建立SAs (连接0，向上0)。我错过了什么吗？

当前配置如下：

conn hmmm
  left=86.x.x.x
  right=y.y.y.84
  keyexchange=ikev1
  authby=secret
  type=tunnel
  auto=start
  ike=aes256-sha1-modp1024
  rekey=yes
  leftsubnet=10.x.x.0/24
  rightsubnet=10.y.y.0/24

conn hmmm-2
  also=hmmm
  leftsubnet=172.y.y.0/24
  rightsubnet=172.z.z.0/24

日志上写着“没有提议”，但是这个IKEv1设置是与libreswan一起工作的。另一端是思科ASA在我们的控制下，但由于我们需要一个就地交换防火墙，我们不能执行连接升级到IKEv2。

Answer 1

此配置忽略esp参数以指定要与IPsec连接一起使用的IKEv1快速模式参数。就是这样。额外的参数是leftauth=psk和rightauth=psk，以符合非推荐语法(authby不推荐)，mobike=no (以防万一)，ikelifetime=8h和lifebytes=4608000000来匹配另一方的SA生存期设置。这是缺失的台词：

esp = aes256-sha1-modp1024,aes192-sha1-modp1024,aes128-sha1-modp1024

我原以为ESP会使用IKE参数来设置快速模式SAs，但可能误读了手册。