기본 VPN 지원 대신 Strongswan을 사용하는 이유

기본 VPN 지원 대신 Strongswan을 사용하는 이유

내가 아는 한, FreeBSD에는 VPN 연결을 설정하는 기능이 있습니다.

Strongswan은 freebsd ipsec 스택 위에 있는 패키지입니까, 아니면 대체 패키지입니까?

답변1

FreeBSD 네트워크 스택 지원네트워크 보안 프로토콜, 그러나 이는 IPsec 기반 VPN 연결의 하위 계층일 뿐입니다.

SA(보안 연결)(암호화/인증 키를 양쪽 끝에 안전하게 배치해야 하며 정기적으로 교체해야 함)를 수동으로 구성하고 싶지 않은 경우 키 데몬을 사용하여 구성해야 합니다.인터넷 키 교환(IKE) 프로토콜이것을 자동화하세요. StrongSwan은 이 프로토콜의 두 가지 버전을 구현하고 SA의 자동 설정 및 교체를 허용하여 호스트를 안전하게 인증하고(예: X.509 인증서 사용)Diffie-Hellman 키 교환.

StrongSwan은 사용자 공간 데몬으로 실행되며 다음 명령을 사용하여 FreeBSD 커널과 통신합니다.PF_KEYv2 프로토콜네트워크 스택에서 협상된 IPsec SA 및 정책을 구성합니다(어떤 트래픽이 어떤 SA로 보호되는지 정의).

너구리대체 키 데몬이지만 IKEv1 프로토콜만 구현하고 더 이상 적극적으로 개발되지 않습니다(iOS/OS X 및 Android에서 포크를 고려하지 않는 한). 이것IPsec 도구제공되는 패키지너구리또한 갖추고 있습니다설정 키, 수동 입력에 사용할 수 있지만 커널 상태 쿼리도 허용합니다. 따라서 이 유틸리티는 StrongSwan과 같은 다른 키 데몬을 사용하여 설치된 SA 및 정책이 정상인지 확인하는 경우에도 유용할 수 있습니다.

관련 정보