我一直在与StrongSwan苦苦挣扎几天,试图让它做一些机会主义encryption。 我已经阅读了一些应该可以做到的地方,但是一直没能find任何configuration示例。
我想configuration它,使StrongSwan服务器不authentication客户端,但只是让他们创build一个encryption的连接无关他们是谁。 从而匿名客户端身份validation。
客户端应该通过服务器的公钥来validation它们是否连接到正确的服务器。
也就是说,如果服务器作为可用的Web服务器,每个人都应该能够连接 – 如果他们想要保护连接,则可以先创build一个IPSec关联。 (公钥是通过DNS获取的)
或者你知道任何其他能够支持“匿名”客户端连接的IPSec软件吗?
您是否尝试过使用pubkey身份validation,并向所有潜在客户端分发一个私钥 – 公钥对(为此目的而设置)? 他们已经需要获得服务器公钥来validation某个地方,那么为什么不用“匿名”密钥对。
请检查ipsec.conf和config部分中的uniqueids = no / never选项。