StrongSwan(レスポンダーとして)は、着信イニシエーターキー交換インテントごとに構成済みの接続(ipsec.conf
のconnセクション)を選択します。
StrongSwanはいつ接続構成を選択しますか?これまでに集めた知識に基づいて、可能な接続を1つずつ絞り込みますか?
例えば。 IKEv2交換では、最初のパケットにはまだ識別子( "rightid")が含まれていませんが、keyexchange=ikev1
との接続はすでに問題外です。
最初の応答(Cookieが含まれていない場合)は、IKE SA用に選択されたアルゴリズムをすでに示しているはずなので、some接続を選択する必要があります。その時点でstrongSwanはどのようにしてこれを行うことができるでしょうか?
その時点でstrongSwanはどのようにしてこれを行うことができるでしょうか?
予備構成は、IPアドレス(左|右)とIKEバージョンに基づいて選択されます。 IKE_AUTH交換のIDが使用可能になるまで、最適な一致(または、複数の構成が同等に一致する場合は最初の一致)が使用されます。
IDを使用すると、left | rightid(およびIKEバージョン)の値に基づいて、別の接続への切り替えが発生します。一致するすべての接続は候補(最初に最も一致するもの)であり、後でたとえば次のように切り替えられる可能性があります。 rightcaまたはrightgroupsのような認証ラウンドと制約に基づきます。