einsdisp

@cmlz
刚刚尝试，直接把公网网线接入一台 linux 系统，安装配置好 strongswan ，可以连接成功，但是无法 ping ，`ip` 命令显示并没有多出一张虚拟网卡。以前我用 openvpn ，连接成功后会多一张虚拟 interface ，可对这个 interface 配置路由策略。

`/etc/ipsec.conf`配置：

```
config setup
charondebug="all"
# strictcrlpolicy=yes
# uniqueids = no

conn testvpn
auto=add
type=tunnel
keyexchange=ikev1
#authby=secret
leftauth=psk
rightauth=psk
left=<我方公网 IP>
leftsubnet=<我方内网 IP>/24
right=<对方公网 IP>
rightsubne=<对方内网 IP>/24
ike=3des-md5-modp1024
esp=3des-md5-modp1024
aggressive=no
keyingtries=%forever
ikelifetime=86400s
lifetime=86400s
#dpddelay=30s
#dpdtimeout=120s
dpdaction=restart
```

@cmlz

@cmlz 是否用 strongswan 并了解其配置？可以的话，愿意 200 元有偿帮我看下，这玩意配置文件挺复杂，目前还没搞定。把你联系方式发我邮箱，我 id 爱特 gmail 。

@cmlz

想问问，根据对方给的这配置能否判断是否支持 NAT 穿越？

背景是这样的，我们这个路由设备可以配置端口转发到内网的机器，但要在路由设备上直接配置 ipsec 暂时不方便。如果能在内网找一台机器配置 ipsec 是最好的。

@cmlz

谢谢回复！

1 、对方的这个配置似乎是 IKEv1 么？

2 、公网固定 IP 有。是否必须在路由设备上配置 ipsec ？如果路由设备不动，只在内网的机器上找一台 linux 进行 ipsec 配置是否可行?

@cmlz

感谢回复！

我研究了下，对方的这个配置似乎是 IKEv1 ？而 windows 只支持 IKEv2 ？

此外，暂时没有企业级“硬件”路由器，使用 OpenWRT / pfSense 这种软路由，或者 linux 系统下的软件包 strongswan 应该也行吧（但是配置文件太复杂了，还在研究中）？

另外，很重要的一点，这种纯 IPsec 是否支持 NAT ？
我们这里的网关设备虽有公网 ip ，但一般轻易不动（最多设置个端口转发）。内网获得的是网关设备分发的内网 DHCP 地址（类似 192.168.x.x ）。
不操作网关设备本身，只在内网的机器上折腾是否可行？比方说在内网另安装一个软路由系统（或者使用 linux 上 strongswan 软件包），或者干脆在内网添加一个硬件企业级路由器（如果软路由不管用），是否可行?
如果不可行，在网关上设置将 IPsec 的相关的端口转发到内网的 ipsec 客户端机器上是否可行？

@crab 早看过了，没用，还是要输入用户名密码。关键我不太了解，对方给的这个配置，是纯 IPsec 还是 IPsec+L2TP 。网上的教程大多数是针对 IPsec+L2TP 的。

@sutra

@Rheinmetal 这就是 DIY 的好处了，DIY 可以自选机箱与风扇，噪音可控。