En utilisant strongswan, quelle est la différence entre auto = add et auto = start?

Les documents sur ce sujet sont plutôt vagues,

quelle opération, le cas échéant, devrait être effectuée automatiquement au démarrage IPsec. append une connection sans connection. la route charge une connection et installe des pièges au kernel. Si le trafic est détecté entre leftsubnet et rightsubnet, une connection est établie. commencer à charger une connection et l'afficher immédiatement. ignorer ignore la connection. Ceci est égal à la suppression d'une connection à partir du file de configuration. Pertinente uniquement localement, d'autres fin ne doivent pas s'entendre sur elle.

Qu'est-ce que cela signifie pour charger une connection sans le démarrer et le faire apparaître immédiatement? Quelqu'un peut-il fournir un exemple simple?

3 Solutions collect form web for “En utilisant strongswan, quelle est la différence entre auto = add et auto = start?”

Le document d'introduction sur le wiki de StrongSwan contient plus d'informations à ce sujet. Les trois options pour démarrer les connections sont les suivantes:

  • Manuellement (ou par des pairs distants) : Les connections avec auto=add sont chargées, mais rien ne se passe automatiquement après. Ils peuvent ensuite être initiés manuellement à l'aide de ipsec up <name> (à condition qu'un seul nom d'hôte / IP soit configuré à right ).

    De telles connections permettent également aux pairs distants de lancer une connection, count tenu de leurs correspondances IP tout ce qui est configuré à right (vous verrez souvent des connections avec right=%any dans les scénarios d'access à distance, où les adresses IP des clients sont généralement inconnues).

  • Automatiquement : Avec auto=start une connection est chargée et le démon IKE va immédiatement se connecter à l'hôte distant configuré à right . Il s'agit essentiellement d'appeler manuellement ipsec up pour ces connections directement après le démarrage du démon IKE.

  • À la request : le démon IKE va charger des connections avec auto=route et installer des stratégies de trap, en fonction des sélecteurs de trafic configurés avec left|rightsubnet , dans la mise en œuvre IPsec sous-jacente, par exemple, le kernel Linux. Lorsque le kernel rencontre plus tard le trafic qui correspond à ces règles, il requestra au démon IKE d'amorcer la connection.

    De telles connections peuvent également être lancées manuellement en utilisant ipsec up .

    En outre, il est possible d'enlever les fonts installées dans le kernel plus tard en utilisant ipsec unroute . La connection a alors le même statut que celui qui a été ajouté avec auto=add . De même, les connections qui ont été chargées avec auto=add (ou auto=start ) peuvent être apathées à l' aide de la ipsec route .

auto=add appenda la connection à l'écoute – prêt pour la fin de la télécommand pour lancer une connection.

auto=start appenda la connection et tentera d'établir une connection à la télécommand.

Donc, en général, vous voulez un pair (gauche ou droite) sur auto=add et l'autre extrémité sur auto=start

Il est intéressant de noter que auto=start ne rétablira pas le tunnel s'il est arrêté. Cela peut causer des problèmes où le tunnel apparaîtra parfaitement lorsque vous redémarrez votre server (ou redémarrez ipsec), mais échouez quelque time plus tard – généralement en raison d'un temporisateur d'inactivité défini par l'autre partie. D'autre part, si vous définissez auto=route , alors strongswan veillera à ce que le tunnel soit ouvert chaque fois qu'il voit un trafic intéressant.

  • strongswan ne peut pas pousser le résolveur DNS vers OSX Mountain Lion (split tunnel)
  • Filtrage des packages VPN Strongswan entrants avec iptables
  • Comment puis-je get Strongswan / IPTables pour apather datatables vers mon client Road Warrior correctement?
  • Strongswan à OpenBSD isakmpd IPSec VPN
  • StrongSwan IKEv2 + Windows 7 Agile VPN: ce qui provoque l'erreur 13801
  • Le conteneur Docker ne peut pas accéder aux hôtes derrière VPN
  • strongswan: sous-réseau entièrement virtuel
  • Strongswan s'exécute dans un conteneur pour créer un tunnel VPN entre LAN et GCE?
  • Les règles iptables manquantes pour le routing Strongswan pour VPN pour le téléphone
  • Comment redirect le trafic via la passerelle IPvec IPSec (strongswan)?
  • Routage StrongSwan ikev2 via VPN dans Windows 10
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.