Como desarrollador encargado de conectarme a una VPN sin scripts de perfil preconfigurados, estoy buscando a tientas la configuración de un archivo strongswan ipsec.conf. Mi obstáculo actual es un mensaje de "cadena de propuesta no válida" en mi syslog después de iniciar el servicio strongswan-starter.
El administrador que aloja la VPN solo ha proporcionado un conjunto limitado de parámetros y el perfil de conexión no está disponible para descargar.
¿Cuál es la cadena de propuesta correcta para colocar en mi ipsec.conf para conectarme a un sistema que tiene los siguientes parámetros?
Phase 1 Transform: AES-GCM (256 bits) Phase 1 Key Group: Diffie-Hellman Group20 Phase 2 IPSec Proposal: ESP-AES256-GCM Phase 2 Perfect Forward Secrecy: Diffie-Hellman Group20
Mi ipsec.conf
conn PHS
leftsubnet=x.x.x.x/25
authby=secret
ike=aes256gmac;ecp384
right=x.x.x.x
rightid=x.x.x.x
leftid=GH_Remote
cliente: servidor ubuntu 22 (sin cabeza) host: ikev2 watchguard vpn
Respuesta1
Un breve intento; tal vez esto:
conn PHS
leftsubnet=x.x.x.x/25
authby=secret
ike=aes256gcm128-ecp384!
esp=aes256gcm128-ecp384!
right=x.x.x.x
rightid=x.x.x.x
leftid=GH_Remote
keyexchange=ikev2
El signo de exclamación al final fuerza esta cadena de propuesta.