config setup
uniqueids=no
conn %default
keyexchange=ikev1
ike=aes256-sha1-modp1024!
esp=aes256-sha1!
auto=add
closeaction=clear
dpddelay=60s
dpdtimeout=120s
inactivity=30m
ikelifetime=28800s
keyingtries=3
lifetime=1h
margintime=5m
dpdaction=clear
left=%any
leftsubnet=0.0.0.0/0
right=%any
conn IKE-BASE
authby=psk
aggressive=yes
left=%any
leftsubnet=0.0.0.0/0
leftid=jdcloud
right=%any
rightid=jc
rightsubnet=10.254.0.0/16
ike=aes256-sha1-modp1024!
esp=aes256-sha1!
auto=add
leftauth=psk
rightauth=psk
1. `config setup`:这是全局配置部分,用于设置全局的参数。`uniqueids=no`表示不使用唯一的标识符。
2. `conn %default`:这是默认连接部分,其中的参数将被所有连接继承。以下是一些重要的参数:
- `keyexchange=ikev1`:使用IKEv1协议进行密钥交换。
- `ike=aes256-sha1-modp1024!`:使用AES256加密算法、SHA1哈希算法和MODP1024 Diffie-Hellman组进行IKE阶段的密钥交换。
- `esp=aes256-sha1!`:使用AES256加密算法和SHA1哈希算法进行ESP数据包的加密和认证。
- `auto=add`:自动添加连接。
- `closeaction=clear`:连接关闭时清除相关的SA和SPD条目。
- `dpddelay=60s`:在断开连接之前等待的延迟时间。
- `dpdtimeout=120s`:等待对方响应的超时时间。
- `inactivity=30m`:在没有活动时断开连接的超时时间。
- `ikelifetime=28800s`:IKE SA的生存期。
- `keyingtries=3`:密钥交换尝试的次数。
- `lifetime=1h`:ESP SA的生存期。
- `margintime=5m`:在生存期结束前重新协商密钥的时间。
- `dpdaction=clear`:如果DPD失败,清除相关的SA和SPD条目。
- `left=%any`:本地端可以是任意IP地址。
- `leftsubnet=0.0.0.0/0`:本地子网为0.0.0.0/0,表示所有流量都可以通过VPN。
- `right=%any`:远程端可以是任意IP地址。
3. `conn IKE-BASE`:这是一个特定连接的配置部分,其中包含了与对等方建立IKE通道所需的参数:
- `authby=psk`:使用预共享密钥进行身份验证。
- `aggressive=yes`:使用主动模式进行IKE协商。
- `leftid=jdcloud`:本地端的标识符为"jdcloud"。
- `rightid=jc`:远程端的标识符为"jc"。
- `rightsubnet=11.252.0.0/16`:远程子网为11.252.0.0/16,表示只有与该子网相关的流量才通过VPN。
此外,还包含了与默认连接相同的一些参数,如加密算法、认证算法和自动添加连接等。
`leftauth=psk`和`rightauth=psk`指定了本地端和远程端使用预共享密钥进行身份验证。