有一段时间要做开源××× strongswan的测试,用的是思博伦的Avalanche测试仪,结果发现两者的兼容有很大的问题,现总结出来以供后来的测试作参考。我这里只列出了一些结果并没有给出不兼容的原因。测试中发现Avalanche的bug其实很多,尤其对cert的认证方式支持得很不完善。还有许多配置上的叫法与标准有些不同,容易给人造成混乱。比方说第二阶段配置对端ID的部分需要填入对方子网的网络号和掩码号,但是配置的地方却只给了一个框,让人不太明白这是应该填什么东西。我用的是Avalanche4.0版本在当时还是最新的。当然strongswan也不是尽善尽美的,在一些小细节上不能完全符合RFC标准。
术语:
PSK: 预共享密钥
xauth: xauth认证
push: modeconfig 为push模式,也是strongswan server推送ip地址的模式
Generic: Avalanche 使用的模式,类似于Modeconfig
cert: 使用证书认证
左: strongswan 右:Avalanche
PSK, #xauth, push <--> #xauth, PSK 不通
PSK, #xauth, #push <--> #xauth, PSK 通
PSK, xauth, #push <--> Generic, PSK 不通
PSK, xauth, push <--> Generic, PSK 通
cert,#xauth,push <--> #xauth, cert 不通
cert,#xauth,#push --> #xauth, cert 不通
cert,#xauth,#push <-- #xauth, cert 通
cert, xauth,#push <--> Generic, cert 不通
cert, xauth, push <--> Generic, cert 不通
