StrongSwan / IPSec: запуск смены ключа вручную
Я пытаюсь протестировать производительность моей установки StrongSwan RoadWarrior ( Стандартная, найденная здесь ). В рамках этого тестирования мне нужно убедиться, что он правильно меняет ключи. Я не очень хорошо знаком с IPSec, но есть ли способ вручную запустить смену ключей вместо того, чтобы позволить ей истечь в течение срока службы? В настоящее время в моем swanctl.conf установлено время смены ключей, которое я мог бы сократить, но я хотел бы иметь возможность делать это по желанию с помощью одинарного лайнера.
Смену ключей можно запускать вручную с помощью swanctl/VICI, а также с помощью устаревшего сценария ipsec (хотя это не задокументировано ).
Для swanctl используется команда --rekey. IKE или Child SA для смены ключа можно выбрать либо по имени (--ike/--child), либо по уникальному идентификатору (--ike-id/--child-id ), что можно определить с помощью команды --list-sas. Все SA, соответствующие заданным селекторам, получают новый ключ, а для IKE SA также можно инициировать повторную аутентификацию с помощью параметра --reauth. VICI предоставляет те же параметры с помощью команды rekey(), которую использует swanctl.
Со сценарием ipsec можно использовать недокументированную команду rekey утилиты stroke, т.е. ipsec stroke rekey . Формат <имя> определяет, какой SA будет изменен, аналогично команде down. Например, используйте имя или имя[], чтобы повторно ввести первый IKE SA с таким именем, или имя{} для первого дочернего SA, поместив числа в [] или {} позволяют сменить ключ с помощью уникального идентификатора (в этом случае имя необязательно), с имя[*] или имя{*} для всех SA с данное имя изменено.