事前設定されたプロファイル スクリプトなしで VPN に接続するという任務を負った開発者として、strongswan ipsec.conf ファイルの設定に手探りで取り組んでいます。現在のハードルは、strongswan-starter サービスを起動した後に syslog に表示される「無効な提案文字列」メッセージです。
VPN をホストする管理者は限られたパラメータ セットのみを提供しており、接続プロファイルはダウンロードできません。
次のパラメータを持つシステムに接続するために ipsec.conf に入力する正しい提案文字列は何ですか。
Phase 1 Transform: AES-GCM (256 bits) Phase 1 Key Group: Diffie-Hellman Group20 Phase 2 IPSec Proposal: ESP-AES256-GCM Phase 2 Perfect Forward Secrecy: Diffie-Hellman Group20
私のipsec.conf
conn PHS
leftsubnet=x.x.x.x/25
authby=secret
ike=aes256gmac;ecp384
right=x.x.x.x
rightid=x.x.x.x
leftid=GH_Remote
クライアント: ubuntu 22 サーバー (ヘッドレス) ホスト: ikev2 watchguard vpn
答え1
簡単に試してみます。おそらく次のようになります:
conn PHS
leftsubnet=x.x.x.x/25
authby=secret
ike=aes256gcm128-ecp384!
esp=aes256gcm128-ecp384!
right=x.x.x.x
rightid=x.x.x.x
leftid=GH_Remote
keyexchange=ikev2
末尾の感嘆符により、この提案文字列が強制されます。