strongswan的ipsec.conf 配置解析

config setup
    uniqueids=no

conn %default
     keyexchange=ikev1
     ike=aes256-sha1-modp1024!
     esp=aes256-sha1!
     auto=add
     closeaction=clear
     dpddelay=60s
     dpdtimeout=120s
     inactivity=30m
     ikelifetime=28800s
     keyingtries=3
     lifetime=1h
     margintime=5m
     dpdaction=clear
     left=%any
     leftsubnet=0.0.0.0/0
     right=%any

conn IKE-BASE
    authby=psk
    aggressive=yes
    left=%any
    leftsubnet=0.0.0.0/0
    leftid=xxxxxd

    right=%any
    rightid=jx
    rightsubnet=1x.xxx.0.0/16

    ike=aes256-sha1-modp1024!
    esp=aes256-sha1!
    auto=add

    leftauth=psk
    rightauth=psk

1. `config setup`：这是全局配置部分，用于设置全局的参数。`uniqueids=no`表示不使用唯一的标识符。

2. `conn %default`：这是默认连接部分，其中的参数将被所有连接继承。以下是一些重要的参数：
   - `keyexchange=ikev1`：使用IKEv1协议进行密钥交换。
   - `ike=aes256-sha1-modp1024!`：使用AES256加密算法、SHA1哈希算法和MODP1024 Diffie-Hellman组进行IKE阶段的密钥交换。
   - `esp=aes256-sha1!`：使用AES256加密算法和SHA1哈希算法进行ESP数据包的加密和认证。
   - `auto=add`：自动添加连接。
   - `closeaction=clear`：连接关闭时清除相关的SA和SPD条目。
   - `dpddelay=60s`：在断开连接之前等待的延迟时间。
   - `dpdtimeout=120s`：等待对方响应的超时时间。
   - `inactivity=30m`：在没有活动时断开连接的超时时间。
   - `ikelifetime=28800s`：IKE SA的生存期。
   - `keyingtries=3`：密钥交换尝试的次数。
   - `lifetime=1h`：ESP SA的生存期。
   - `margintime=5m`：在生存期结束前重新协商密钥的时间。
   - `dpdaction=clear`：如果DPD失败，清除相关的SA和SPD条目。
   - `left=%any`：本地端可以是任意IP地址。
   - `leftsubnet=0.0.0.0/0`：本地子网为0.0.0.0/0，表示所有流量都可以通过VPN。
   - `right=%any`：远程端可以是任意IP地址。

3. `conn IKE-BASE`：这是一个特定连接的配置部分，其中包含了与对等方建立IKE通道所需的参数：
   - `authby=psk`：使用预共享密钥进行身份验证。
   - `aggressive=yes`：使用主动模式进行IKE协商。
   - `leftid=xxxxxd`：本地端的标识符为"xxxxxd"。
   - `rightid=jx`：远程端的标识符为"jx"。
   - `rightsubnet=1x.xxx.0.0/16`：远程子网为1x.xxx.0.0/16，表示只有与该子网相关的流量才通过VPN。

   此外，还包含了与默认连接相同的一些参数，如加密算法、认证算法和自动添加连接等。

  `leftauth=psk`和`rightauth=psk`指定了本地端和远程端使用预共享密钥进行身份验证。