Als Entwickler, der eine Verbindung zu einem VPN ohne vorkonfigurierte Profilskripte herstellen muss, versuche ich gerade, eine Strongswan ipsec.conf-Datei einzurichten. Mein aktuelles Hindernis ist eine Meldung „ungültiger Vorschlagsstring“ in meinem Syslog, nachdem ich den Strongswan-Starter-Dienst gestartet habe.
Der Administrator, der das VPN hostet, hat nur einen begrenzten Parametersatz bereitgestellt und das Verbindungsprofil steht nicht zum Download zur Verfügung.
Welcher ist der richtige Vorschlagsstring, den ich in meine ipsec.conf einfügen muss, um eine Verbindung zu einem System herzustellen, das über die folgenden Parameter verfügt:
Phase 1 Transform: AES-GCM (256 bits) Phase 1 Key Group: Diffie-Hellman Group20 Phase 2 IPSec Proposal: ESP-AES256-GCM Phase 2 Perfect Forward Secrecy: Diffie-Hellman Group20
Meine ipsec.conf
conn PHS
leftsubnet=x.x.x.x/25
authby=secret
ike=aes256gmac;ecp384
right=x.x.x.x
rightid=x.x.x.x
leftid=GH_Remote
Client: Ubuntu 22-Server (Headless) Host: IKEV2 Watchguard VPN
Antwort1
Ein kurzer Versuch, vielleicht dieser:
conn PHS
leftsubnet=x.x.x.x/25
authby=secret
ike=aes256gcm128-ecp384!
esp=aes256gcm128-ecp384!
right=x.x.x.x
rightid=x.x.x.x
leftid=GH_Remote
keyexchange=ikev2
Das Ausrufezeichen am Ende erzwingt diesen Vorschlagsstring.