如果服务器关闭,我希望客户端无限期地重新连接,所以当它回来时,客户端只需重新连接。
客户 ipsec.conf
conn %default
ike=aes256gcm16-sha384-modp3072!
esp=aes256gcm16-sha384-modp3072!
conn ikev2
auto=start
leftid=client@my-vpn.com
leftsourceip=%config
leftauth=eap-tls
leftcert=vpn-client.crt
right=my-vpn.com
rightid=my-vpn.com
rightsubnet=0.0.0.0/0
rightauth=pubkey
您通常会使用陷阱策略,因此与内核中安装的 IPsec 策略匹配的流量会自动触发 IKE 和 IPsec SA 的协商。它们还可以防止任何匹配的流量离开未加密的主机。但是,要使其与虚拟 IP ( leftsourceip)一起工作,这需要相对较新的 strongSwan 版本(准确地说是 5.6.3 或更高版本)。
因此,对于较新的版本,或者在不使用虚拟 IP 的情况下,只需配置auto=route. 并且不要设置下面提到的任何设置(或将它们设置为clear,keyingtries可能设置为 1)。
当使用虚拟IP与旧版本,你可以配置dpdaction=restart, closeaction=restart和keyingtries=%forever(连同auto=start)来重新创建安全联盟,如果他们得到同行或因终止网络问题(未加密的流量可以离开主机,而出现这种情况,除非你防止通过防火墙)。如上所述,在使用陷阱策略时不应使用这些设置,因为这可能会导致额外的 IPsec SA(在 SA 已并发重新创建时由命中这些策略的流量触发)。还要注意,有一些致命错误(例如身份验证失败)当前不会触发受影响的 IKE SA 的重新创建,因此这可能需要一个脚本来偶尔检查 SA 是否存在或正在建立(使用error-notify插入 因为触发器也可以是一种选择)。
| 归档时间: |
|
| 查看次数: |
3842 次 |
| 最近记录: |