Почему VPN-клиент подключается с pfs = yes, когда на сервере есть pfs = no?

431
Brick

У меня небольшая настройка VPN. Рассматриваемый клиент Raspberry Pi работает strongswanи xl2tpdработает как IPsec / L2TP. Я сделал ошибку конфигурации на клиенте, где я установил pfs=yes(для идеальной безопасности пересылки), даже если на сервере он установлен no. Я исправил это, и теперь все хорошо, но симптомы были любопытными, и мне интересно, сможет ли кто-нибудь объяснить, что я видел:

А именно, с неверной конфигурацией, клиент устанавливал допустимое соединение IPsec / L2TP, которое можно было проверить на сервере и сработать на клиенте, НО соединение постоянно прерывалось на 2,1 минуты. Я понял, что конфигурация была повреждена, и она должна упасть, но мне интересно, есть ли хорошее объяснение, почему соединение может быть установлено в первую очередь? Кажется, что это должно было никогда не соединяться, а не соединяться некоторое время, а затем сбрасываться.

0

1 ответ на вопрос

0
David Schwartz

pfs=yesКонфигурация просто означает, что вы хотите PFS. pfs=noКонфигурация ничего не значит - это просто эквивалент не иметь pfs=yes. Это не значит, что вы не хотите PFS и не запрещаете это.

Но все это академично, так как PFS всегда используется, хотите вы этого или нет.

Не могли бы вы остановиться на этом последнем предложении? Это не соответствует документации или моему опыту, как описано здесь. (Если он делает одно и то же независимо от настроек, почему результат будет другим?) Спасибо. Brick 7 лет назад 0
Поведение изменилось в `strongswan` версиях 5.0.0 и 5.1.0. Я объясняю поведение, которое вы наблюдали в первом абзаце. David Schwartz 7 лет назад 0

Похожие вопросы