Добрый день.

Раньше использовал racoon + l2tpd и всё работало прекрасно, то тут потребовалась поддержка IKE2 и поставил strongswan И имею ряд проблем, а имеено:

• одновременно l2tp и ike2 не удаётся заставить работать
• проблемы policy based routing на клиенте

конфиг ipsec.conf

conn rw-base fragmentation=yes dpdaction=clear dpdtimeout=90s dpddelay=30s left=%any4 right=%any4 reauth=no rekey=no ike=aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024! esp=aes256-sha256,aes256-sha1,3des-sha1!

conn ikev1-l2tp-chap-auth-in-l2tp also=rw-base auto=add type=transport leftprotoport=17/1701 rightprotoport=17/%any leftsubnet=%dynamic[/1701] rightsubnet=%dynamic mark=%unique leftauth=psk rightauth=psk

conn ikev2-eap-mschapv2 also=rw-base auto=add keyexchange=ikev2 mark=42 leftid=@ leftauth=pubkey leftcert=.crt leftsendcert=always leftsubnet=0.0.0.0/0 leftfirewall=no leftupdown=/etc/ipsec.d/leftupdown.sh rightid=%any rightauth=eap-mschapv2 rightsendcert=never rightsourceip=%dhcp rightdns=10.10.10.10 eap_identity=%identity

ipsec.secrets такой

%any %any : PSK «key» : RSA «.key» user : EAP «pass»

конфиг взят из офф документации на roadwarrior когда клиент подключается, то пишет такое:

( читать дальше... )

это первая проблема с l2tp

вторая проблема с роутингом через ike2 когда клиент тоже strongswan снова по офф мануале сделан leftupdown script, который поднимает vti интерфейс и потом ip r add dev vti0 маршрут появляется, если смотреть tcpdump даже видны пакеты, НО, на выходе сервера их нет!