Добрый день.
Раньше использовал racoon + l2tpd и всё работало прекрасно, то тут потребовалась поддержка IKE2 и поставил strongswan
И имею ряд проблем, а имеено:
- одновременно l2tp и ike2 не удаётся заставить работать
- проблемы policy based routing на клиенте
конфиг ipsec.conf
conn rw-base
fragmentation=yes
dpdaction=clear
dpdtimeout=90s
dpddelay=30s
left=%any4
right=%any4
reauth=no
rekey=no
ike=aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024!
esp=aes256-sha256,aes256-sha1,3des-sha1!conn ikev1-l2tp-chap-auth-in-l2tp
also=rw-base
auto=add
type=transport
leftprotoport=17/1701
rightprotoport=17/%any
leftsubnet=%dynamic[/1701]
rightsubnet=%dynamic
mark=%unique
leftauth=psk
rightauth=pskconn ikev2-eap-mschapv2
also=rw-base
auto=add
keyexchange=ikev2
mark=42
leftid=@
leftauth=pubkey
leftcert=.crt
leftsendcert=always
leftsubnet=0.0.0.0/0
leftfirewall=no
leftupdown=/etc/ipsec.d/leftupdown.sh
rightid=%any
rightauth=eap-mschapv2
rightsendcert=never
rightsourceip=%dhcp
rightdns=10.10.10.10
eap_identity=%identity
ipsec.secrets такой
%any %any : PSK «key»
: RSA «.key»
user : EAP «pass»
конфиг взят из офф документации на roadwarrior
когда клиент подключается, то пишет такое:
( читать дальше... )
это первая проблема с l2tp
вторая проблема с роутингом через ike2 когда клиент тоже strongswan
снова по офф мануале сделан leftupdown sсript, который поднимает vti интерфейс
и потом ip r add dev vti0
маршрут появляется, если смотреть tcpdump даже видны пакеты, НО, на выходе сервера их нет!