ipsec.conf

# ipsec.conf - strongSwan IPsec configuration file

# basic configuration
config setup
        #是否严格执行证书吊销规则
        strictcrlpolicy=yes
        #如果同一个用户在不同的设备上重复登录,yes 断开旧连接,创建新连接;no 保持旧连接,并发送通知; never 同 no, 但不发送通知.
        uniqueids = no

# Add connections here.
#定义连接项, 命名为 %default 所有连接都会继承它，详细就不介绍了
conn %default
        ikelifetime=60m
        keylife=20m
        rekeymargin=3m
        keyingtries=1

# Sample VPN connections
conn IDC1
        authby=secret
        #连接方式有add，start等选项，add是有流量产生就发起连接，start是启动就连接
        auto=start
        #默认的密钥交换算法, ike 为自动, 优先使用 IKEv2，ikev2将会指定算法为IKEv2
        keyexchange = ikev2
        #有两种模式tunnel和transport，但transport在NAT模式会有丢包情况，所以采用tunnel
        type=tunnel
        #left，L(Local)的缩写是指本地一些配置信息，left本地的vm的私有IP地址
        left=10.101.0.66
        #本地的VM的公有域名或者公网IP地址，这里填写实例EIP地址
        leftid=######
        #本地网关后端的地址池
        leftsubnet=10.101.0.0/16
        #加密的授权认证方法
        leftauth=psk
        #right，R(Rmote)的缩写是指对端的公网IP地址，这里填写IDC1的出口公网IP地址
        right=#######
        #对端的网关后的地址池
        rightsubnet=10.124.0.0/16
        #加密的授权认证方法
        rightauth=psk
        #密钥交换协议加密算法，
        ike=aes128-sha1-modp1024
        #数据传输协议加密算法
        esp=aes128-sha1-modp1024

conn IDC2
       #同上
#conn sample-self-signed
#      leftsubnet=10.1.0.0/16
#      leftcert=selfCert.der
#      leftsendcert=never
#      right=192.168.0.2
#      rightsubnet=10.2.0.0/16
#      rightcert=peerCert.der
#      auto=start

#conn sample-with-ca-cert
#      leftsubnet=10.1.0.0/16
#      leftcert=myCert.pem
#      right=192.168.0.2
#      rightsubnet=10.2.0.0/16
#      rightid="C=CH, O=Linux strongSwan CN=peer name"
#      auto=start