我正在尝试将远程访问 vpn 配置为 cisco ASA 5510 (9.1(7)15)。我希望能够将 IKEv2 与证书 + 用户/密码 xauth 与 strongswan 一起用作 Ubuntu 下的客户端。

在经历了很多挫折之后，我让这个为 IKEv1 隧道工作，但我无法让 IKEv2 配置工作。

ipsec.conf:

version 2
config setup
        strictcrlpolicy=no
        charondebug="ike 4, knl 2, cfg 2"

conn %default
        ikelifetime=1440m
        keylife=60m
        rekeymargin=3m
        keyingtries=1
        ike=aes256-sha1-modp1536     #Phase1 parameters
        esp=aes256-sha1              #Phase2 parameters
        xauth=client              #Xauth client mode
        xauth_identity=chris      #identity for Xauth
        auto=add

conn "cert2"
        keyexchange=ikev2
        authby=xauthrsasig
        aggressive=no
        leftsourceip=%config
        leftauth2=xauth
        leftcert=chris2.cer
        right = vpn.my.company.com
        rightid=%any
        rightsubnet=0.0.0.0/0

从 ASA 上的日志来看，它似乎希望将 IKE2 连接视为 L2L 隧道。它想匹配 DefaultL2LGroup，如果我从 leftsourceip 中删除 %config，隧道将出现，但显示为 L2L 隧道并且无法工作，因为我没有获得 DHCP 地址。

2017-04-20T16:52:59-05:00 5510a : %ASA-7-711001: IKEv2-PLAT-2: attempting to find tunnel group for IP: 72.48.127.151
2017-04-20T16:52:59-05:00 5510a : %ASA-7-711001: IKEv2-PLAT-2: ignoring tunnel-group-map default group, not L2L
2017-04-20T16:52:59-05:00 5510a : %ASA-7-711001: IKEv2-PLAT-2: mapped to DefaultL2LGroup
2017-04-20T16:52:59-05:00 5510a : %ASA-7-711001: IKEv2-PLAT-2: tg_name set to: DefaultL2LGroup
2017-04-20T16:52:59-05:00 5510a : %ASA-7-711001: IKEv2-PLAT-2: tunn grp type set to: L2L

2017-04-20T16:52:59-05:00 5510a : %ASA-7-711001: IKEv2-PLAT-1: (82): Process request attribute: Unable to get webvpn session
2017-04-20T16:52:59-05:00 5510a : %ASA-7-711001: IKEv2-PLAT-1: Error processing config mode request attibute: 1
2017-04-20T16:52:59-05:00 5510a : %ASA-7-711001: IKEv2-PLAT-1: Failed to build config mode reply
2017-04-20T16:52:59-05:00 5510a : %ASA-7-711001: IKEv2-PROTO-2: (82): Error in retrieving config mode data to send

我觉得关于 strongswan 和/或 ASA ikev2 配置有一些非常明显的我不能理解的东西。