gaaronk

Если мы говорим про IOS или MacOS с его кривым ракуном, то проблема в том что они не могут сделать reauth если его инициирует сервер, а reauth для IKEv1 обязателен. Только если они инициирует его сами. При этом lifitime жестко вшит, и составляет 3600 секунд. Для Apple надо настраивать strongswan так, что бы сервер сам никогда не инициировал reath и rekey. Примерно так (кусок конфига выстраданный долгой отладкой, ковырянием сорцов и перепиской с авторами стронгсвана): ikelifetime=70m lifetime=70m rekeyfuzz=0% margintime=5m При авторизации только по PSK или сертификату, без Xauth, то будет работать. Если дополнительно настроить XAuth по паролю, то работать все равно не будут. Продукты apple не хранят в памяти логин\пароль, и НЕ умеют заново запросить его у пользователя.

Это видимо в 2.09, я не указал свою версию ПО. У меня стабильная 2.08 ip adjust-ttl send 64 Command::Base error[7405602]: inc: argument parse error. Впрочем это надо было для работы OSPF, и уже не актуально, так как в bird можно сказать на интерфейсе ttl security tx only; И он начнет слать мультикаст пакет с TTL 255, а не 1.

Сейчас максимально возможная длина 68 символов. Думаю стоит ограничить в 128. Процитирую вики стронгсвана As you can see from the above formula, the maximum key size a HMAC-based prf can handle is equivalent to its internal block size which is 512 bits or 64 bytes for SHA-1 and SHA-2_256 or 1024 bits or 128 bytes for SHA-2_384 and SHA-2_512. Thus a restriction to a 64 byte PSK makes sense if you don't care for the HMAC being used. If you explicitly specify sha384 or sha512 in your ike= parameter, then a PSK of up to 128 bytes is possible.

Можно ли для GRE туннеля явно задать TTL, вместо inherit ? Или как можно выполнить что то вроде ip tun change ngre0 ttl 64 сразу по поднятию интерфейса?

При использовании для IPSec достаточно длинного PSK - 120 символов, при выполнении sh run получаю в выводе ! ERROR: command "crypto ike key": not enough arguments !Command::Argument::Password ERROR[268304478]: out of memory [0xcffe005e]. А в логе Mar 08 14:08:34ndmCommand::Argument::Password: out of memory [0xcffe005e]. Mar 08 14:08:34ndmCommand::Argument::Password: out of memory [0xcffe005e]. При этом ввести в CLI такой PSK можно, файл /var/ipsec/ipsec.secrets создается верный, туннель работает. ПО release: v2.08(AAUW.0)C1