虽然我在 OpenVPN 和 Wireshark 等其他 VPN 服务器方面有经验,但我在 IPSec 世界中是菜鸟。
经过几天的尝试,我成功地在两个数据中心之间建立了站点到站点连接。这是我的配置文件,两边基本一样。
connections {
mysite {
version=2
local_addrs=<LOCAL_IP>
remote_addrs=<REMOTE_IP>
mobike=no
encap=yes
local {
auth=psk
id=<LOCAL_IP>
}
remote {
auth=psk
id=<REMOTE_IP>
}
children {
net-net {
mode=tunnel
start_action=start
local_ts=<LOCAL_SUBNET>
remote_ts=<REMOTE_SUBNET>
rekey_time=30
}
}
}
}
secrets {
ike {
secret=<MY_SUPER_SECRET_PSK>
}
}
现在,这就是我的情况。配置文件是用于测试目的的基本配置文件,在将我的 VPN 端推广到生产之前,我需要将此设置添加/调整到我的合作伙伴提供的设置,另一端是 Cisco Asa。
IKEv1 PHASE I / IKEv2 提案:
| 互联网密钥交换版本 (IKE) | v2 |
| 密钥管理 | 预共享 |
| 加密演算法 | AES-256 |
| 哈希算法 | SHA-2 256 位(仅限 IKEv2) |
| Diffie-Hellman 组 | 21(仅限 IKEv2) |
| 伪随机函数 (PRF) (IKEv2) | 没有任何。 |
| 以秒为单位的密钥寿命 | 86400。 |
IKEv1 PHASE II / IKEv2 政策:
| 加密演算法 | ESP-AES-256 |
| 认证算法 | SHA-2 256 位(仅限 IKEv2) |
| 完美的前向保密 | DH 组 21(仅限 IKEv2) |
| 以秒为单位的安全关联生命周期 | 28800 |
我正在寻求您的帮助,因为我在 StrongsWan 方面几乎没有任何经验,并且对哈希和加密算法的组合知之甚少,因此我对如何调整这些值感到困惑。