Are you getting enough sleep?

いつも眠い.これが睡眠負債というやつか.

トップ > Debian/GNU > swanctl と RTX830 を IPSec で接続

swanctl と RTX830 を IPSec で接続

Debian/GNU

IKEv2 で接続します. また,RTX830はnetvolanteでドメインをつけて,接続を待つレスポンダとします.

RTX830

下記のように設定.

まずは, IKEv2 を確認しましょう. 考慮されないコマンド一覧がありますので,それが記載されているページは,あまり参考にならないかもしれません. また,イニシエーターとして動作する場合を除いて設定内容が考慮されないコマンドもあります. レスポンダとするので,今回は記載しても意味がありません.

ヤマハで参考にしたのは,下記です. 特に,Microsoft Azure との接続設定例は参考になります. ただし,今回は相手はMVNOなのでIPアドレスは固定ではなく,swanctlです.

IPsec 相互接続の手引き

IPsec コマンドリファレンス

Microsoft AzureとのIPsec接続(IKEv2) 設定例

tunnel select 4
 description tunnel 名前
 ipsec tunnel 4
  ipsec sa policy 4 4 esp aes256-cbc sha256-hmac anti-replay-check=off
  ipsec ike version 4 2
  ipsec ike auth method 4 pre-shared-key
  ipsec ike duration child-sa 4 27000
  ipsec ike duration ike-sa 4 28800
  ipsec ike group 4 modp2048
  ipsec ike keepalive log 4 off
  ipsec ike keepalive use 4 on rfc4306
  ipsec ike local address 4 ipcp pp 1
  ipsec ike local name 4 RTX830のドメイン fqdn
  ipsec ike nat-traversal 4 on
  ipsec ike message-id-control 4 on
  ipsec ike child-exchange type 4 2
  ipsec ike pre-shared-key 4 text 鍵
  ipsec ike remote address 4 any
  ipsec ike remote name 4 相手のアドレス ipv4-addr
  ipsec ike negotiation receive 4 on
 ip tunnel tcp mss limit auto
 tunnel enable 4

swanctl

strongSwan に関する説明はでてくるけど,swanctl に関する説明はほとんどない. 公式リファレンス読めってことですよね,これ.

下記は,RTX1210との接続なので,参考になります.
strongSwanとRTX1210の拠点間VPN接続(IKEv2, IPv4 over IPv6) - Qiita

こちらは普通の使い方.
[linux][VPN] strongSwanのcharonをswanctlに置き換えてみた。 | いつか、そのとき、あの場所で。rev.2

NTTPC COMMUNICATIONS でも説明があった. strongSwan と記載しているけど,中身は swanctl.ping の結果まで記載しているというやさしさを感じられます.
https://support.unified-ict.jp/hc/ja/articles/360043137992-strongSwan使えますか-Debian-Buster-

この方も記載しているけど,idがほんとに謎.いろいろ読んでみたけど,確信をもって設定しているわけではない.
つまり,動いたからヨシ!
strongSwanの新しい設定方法(vici)

Debian/GNU Linux

サイト間接続なので,カーネルパラメータを設定する必要がある.

Linux サーバ間 IPsec 接続 (strongswan) | 技術メモの壁

strongSwan

stringSwan と swanctl を install します.debian/GNU なので簡単です. そのうえで,swanctl を使用するため下記のように書き換えます.
元ネタを探すことができなかったけど,下記のように --load-all してくださいということです.
swanctl Tool :: strongSwan Documentation

charon {
 ...
 start-scripts {
   swanctl = /usr/sbin/swanctl -q
 }
 ...
}

せっかくなので,確認したサイトを列挙.

RTX1100との接続が記載されている.
strongSwan - 総本部日誌

タイトルの通りです.
strongswanでログを残す方法 - Qiita

素直な説明です.
strongSwan の設定 - ユーザーガイド| Alibaba Cloud ドキュメントセンター

swanctl

公式です.
swanctl.conf :: strongSwan Documentation

もし,ipsec から swanctl に移行したいなら,下記が参考になります.
Migration from ipsec.conf to swanctl.conf - strongSwan

よくわかってない Identity の設定に関する説明です.
Identity Parsing :: strongSwan Documentation

NAT Traversal と MOBIKE が重要らしいけど,MOBIKEがどう重要なのかわかってない.説明は下記です.
NAT Traversal :: strongSwan Documentation
MOBIKE :: strongSwan Documentation

起動

swanctl Tool :: strongSwan Documentation