Я знаю, что StrongSwan использует UDP 500 и 4500 для трафика IKE и протокольный номер IP 50 для пакетов ESP.
Я не уверен, что использование опции left | rightfirewall (http://wiki.strongswan.org/projects/strongswan/wiki/ConnSection) в StrongSwan будет ли эта опция открывать эти порты при включенном соединении?
или есть какая-либо конфигурация, которая автоматически открывает эти порты после запуска демона ipsec (charon)?
Спасибо!
будет ли эта опция открывать эти порты при включенном соединении?
Нет, указанные вами порты / протоколы должны быть открыты в брандмауэре раньше. В противном случае strongSwan не может установить какие-либо соединения в первую очередь. Что делает left|rightfirewall , так это вставляет правила пересылки для трафика, который туннелируется (как указано в left|rightsubnet и left|rightprotoport). Если lefthostaccess включен, INPUT и OUTPUT также вставляются правила, которые позволяют получить доступ к шлюзу по его внутреннему адресу.
Существуют ли какие-либо конфигурации, которые автоматически открывают эти порты после запуска демона ipsec (харона)?
Нет, вы должны настроить брандмауэр самостоятельно.
