有一段时间要做开源××× strongswan的测试,用的是思博伦的Avalanche测试仪,结果发现两者的兼容有很大的问题,现总结出来以供后来的测试作参考。我这里只列出了一些结果并没有给出不兼容的原因。测试中发现Avalanche的bug其实很多,尤其对cert的认证方式支持得很不完善。还有许多配置上的叫法与标准有些不同,容易给人造成混乱。比方说第二阶段配置对端ID的部分需要填入对方子网的网络号和掩码号,但是配置的地方却只给了一个框,让人不太明白这是应该填什么东西。我用的是Avalanche4.0版本在当时还是最新的。当然strongswan也不是尽善尽美的,在一些小细节上不能完全符合RFC标准。


术语

   PSK: 预共享密钥

   xauth: xauth认证

   push: modeconfig 为push模式,也是strongswan server推送ip地址的模式

   Generic: Avalanche 使用的模式,类似于Modeconfig

   cert: 使用证书认证


左: strongswan       右:Avalanche

PSK, #xauth, push  <--> #xauth, PSK 不通

PSK, #xauth, #push <--> #xauth, PSK 通

PSK, xauth, #push  <--> Generic, PSK 不通

PSK, xauth, push <--> Generic, PSK 通


cert,#xauth,push <--> #xauth, cert 不通

cert,#xauth,#push --> #xauth, cert 不通

cert,#xauth,#push <-- #xauth, cert 通

cert, xauth,#push <--> Generic, cert 不通

cert, xauth, push <--> Generic, cert 不通