sas*_*uen 4 freebsd ipsec strongswan
据我了解,FreeBSD 具有建立 vpn 连接的本机能力。
strongswan 是一个包,它位于 freebsd ipsec 堆栈的顶部还是替代品?
FreeBSD 的网络堆栈支持IPsec,但这只是基于 IPsec 的 VPN 连接的较低层。
如果您不想手动配置安全关联 (SA)(您需要将加密/身份验证密钥安全地放置在两端并必须定期更换),您将需要使用实现Internet 密钥交换的密钥守护进程( IKE) 协议来自动执行此操作。strongSwan 实现了该协议的两个版本,并允许自动设置和替换 SA,从而安全地对主机进行身份验证(例如使用 X.509 证书),并且使用例如Diffie-Hellman 密钥交换动态生成密钥。
strongSwan 作为用户态守护进程运行,它使用PF_KEYv2 协议与 FreeBSD 内核通信,以便在网络堆栈中配置协商的 IPsec SA 和策略(定义哪些流量由哪个 SA 保护)。
racoon是一个替代的密钥守护进程,但它只实现了 IKEv1 协议,并且不再积极开发(除非你考虑它的分支,例如 iOS/OS X 和 Android)。提供racoon的ipsec-tools包也带有setkey,它可用于手动键入但也允许查询内核状态。因此,即使在使用其他键控守护程序(如 strongSwan)来检查已安装的 SA 和策略是否符合预期时,该实用程序也可能很有用。