Используя strongswan, каково различие между auto=add и auto=start?

В вводном документе на вики strongSwan есть дополнительная информация об этом. Три варианта запуска подключений:

• Вручную (или удаленными узлами) : ​​Подключения с auto = add загружаются, но после этого ничего не происходит автоматически. Затем они могут быть инициированы вручную с помощью ipsec up (при условии, что одно имя хоста / IP настроено в справа ).

  Такие соединения также позволяют удаленным узлам инициировать соединение , учитывая, что их IP-адрес соответствует тому, что настроено в right (поэтому вы часто будете видеть соединения с right =% any в сценариях удаленного доступа, где IP-адреса клиентов обычно неизвестны) .

• Автоматически : При auto = start соединение загружается, и демон IKE немедленно начинает подключаться к удаленному хосту, настроенному в справа . По сути, это похоже на ручной вызов ipsec up для этих подключений непосредственно после запуска демона IKE.

• По запросу : демон IKE будет загружать подключения с auto = route и установить политики прерывания на основе селекторов трафика, настроенных с помощью left | rightsubnet , в базовой реализации IPsec, например, в ядре Linux. Когда ядро ​​позже обнаруживает трафик, соответствующий этим политикам, оно запрашивает у демона IKE инициирование соединения.

  Такие соединения также можно инициировать вручную с помощью ipsec up .

  Кроме того, позже можно удалить политики, установленные в ядре, используя ipsec unroute . После этого соединение будет иметь тот же статус, что и соединение, добавленное с помощью auto = add . Точно так же соединения, которые были загружены с помощью auto = add (или auto = start ), могут быть маршрутизированы с использованием маршрута ipsec .

auto = add добавит соединение в состоянии прослушивания - готово для удаленного конца, чтобы инициировать соединение.

auto = start добавит соединение и попытается для установления соединения с удаленным устройством.

Как правило, вы хотите, чтобы один партнер (левый или правый) имел auto = add , а другой конец - auto = start

Стоит отметить, что auto = start не восстановит туннель, если он отключен. Это может вызвать проблемы, когда туннель сработает безупречно при перезапуске сервера (или перезапуске ipsec), но через некоторое время выйдет из строя - обычно из-за таймера бездействия, установленного другой стороной. С другой стороны, если вы установите auto = route , то strongswan будет гарантировать, что туннель открыт каждый раз, когда он видит интересный трафик.