几个月前初步尝试了 Openswan,但是在最后连接的时候出现了一些问题。所以实验暂停了。
前两天又重新使用 Debian 、Arch 模拟两个网关,重新做了实验,成功了。其思路与前文类似,在此对一些新发现的东西做记录、解释。
1. Openswan 服务
ipsec 的服务脚本有多个版本,Debian 包中自带的脚本版本较新,Arch 稍旧。不过使用上都没有问题。Openswan 的脚本其实就是调用 ipsec 的脚本。
2. 关于 Opportunistic Encryption
在用OpenSWAN做Linux下的IPSec VPN的详细配置指南 里面提到:
另外,这一行include /etc/ipsec.d/examples/no_oe.conf意为关闭Opportunistic Encryption在你不知道她到底做了什么之前,还是关掉她为好,打开no_oe.conf文件,发现其内容如下,我们将在本文的第五部分讨论这个话题。
在 Arch 的 ipsec.conf 文件里面,默认并没有关闭 OE,这导致我一旦启动了 Openswan 服务,网络接口就不生效了。那么 OE 到底是什么呢?加密方式?暂时还没搞清楚。
3.Arch 下的一点小问题
Arch 很优雅的把 /etc/ipsec.d/policies/clear 里面添加了许多网段,暂时只发现他们会在ipsec启动的时候添加许多路由信息,还不清楚具体的作用。
接下来的实验:
erjing 说过,相同的设备之间 ipsec 还不是很难。难是难在不同的设备之间如何配置 ipsec vpn 通道。
地下就想试试 linux-fortigate 之间的配置了。
