V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wuruxu
V2EX  ›  宽带症候群

Linux 环境下,使用 swanctl 配置 strongswan 连接远端 IPsec 服务器

  •  
  •   wuruxu · 2023-04-02 02:58:35 +08:00 · 1177 次点击
    这是一个创建于 594 天前的主题,其中的信息可能已经有所发展或是发生改变。

    新版都推荐 swanctl ,所以共享下 swanctl.conf 配置信息
    目前看起来,比 ipsec.conf 的优点,就是把用户密码用在了一起

    root@myhost:/etc/strongswan.d# cat /etc/swanctl/conf.d/ec6.conf 
    connections {
        xyz {
            unique = never
            version = 2
            proposals = chacha20poly1305-sha512-x25519,aes256-sha512-modp2048,aes128-sha512-modp2048,aes256ccm96-sha384-modp2048,aes256-sha256-modp2048,aes128-sha256-modp2048,default
            rekey_time = 0s
            dpd_delay = 36s
            fragmentation = accept
            send_cert = never
            send_certreq = yes
            remote_addrs = xyz.domain.org
            local_port = 4500
            vips=0.0.0.0,::
    
            local {
                id = thinkpad
                auth = eap-mschapv2
                eap_id = myusername
            }
            remote {
                id = ec6.andjs.org
            }
            children {
                andjs {
                    local_ts = 10.17.0.0/24,2001:177:234:dee:1::/80
                    remote_ts = 0.0.0.0/0,::/0
                    rekey_time = 0s
                    dpd_action = clear
                    esp_proposals = chacha20poly1305,aes256gcm128,aes128gcm128,aes256ccm128,aes256
                }
            }
        }
    }
    
    secrets {
        eap-u0 {
            id = myusername
            secret = "mypassword"
        }
    }
    
    
    5 条回复    2023-04-03 12:10:11 +08:00
    bao3
        1
    bao3  
       2023-04-02 18:23:33 +08:00 via iPhone
    这……应该算作是已经过时的应用的了,主要是 ipsec/esp 的过程太容易被鉴别以及固定端口容易失效。如果是从性能考虑,可以使用 wire guard 。
    wuruxu
        2
    wuruxu  
    OP
       2023-04-02 18:45:55 +08:00
    过时不至于吧,ipsec 和 wireguard 一直都在用,多个方法多条路
    ipsec 跟 wireguard 性能区别不是很大的
    fvladlpa
        3
    fvladlpa  
       2023-04-02 21:58:31 +08:00
    都是 UDP 的,被 QoS 的没脾气
    cwbsw
        4
    cwbsw  
       2023-04-03 09:31:30 +08:00
    @wuruxu ipsec 多核利用太差了,在嵌入式平台上性能可能差一倍,带硬件加密的 AES 都不如 wireguard 用 cpu 硬算。
    wuruxu
        5
    wuruxu  
    OP
       2023-04-03 12:10:11 +08:00
    @cwbsw 这个有可能,现在在路由器上我也是使用 wireguard
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2838 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 07:51 · PVG 15:51 · LAX 23:51 · JFK 02:51
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.