1· Cambiar configuración en la Fase1 y Fase2
FASE 1
set vpn ipsec ike-group FOO0 proposal 1 encryption aes128
set vpn ipsec ike-group FOO0 proposal 1 hash md5
FASE 2
set vpn ipsec esp-group FOO0 proposal 1 encryption aes256
set vpn ipsec esp-group FOO0 proposal 1 hash sha256
Opciones de encriptacion disponibles:
- AES128
- AES256
- AES128GCM128
- AES256GCM128
- 3DES
Opciones de Firma disponibles:
- MD5
- SHA1
- SHA2-256
- SHA2-384
- SHA2-512
2· Cambiar el tiempo de vida de negociacion del tunel. (En segundos)
set vpn ipsec ike-group FOO0 lifetime 86400 (FASE1)
set vpn ipsec esp-group FOO0 lifetime 43200 (FASE2)
3· Desactivar PFS (*Capa extra de seguridad, fuerza a generar una nueva clave DH en la negociación)
set vpn ipsec esp-group FOO0 pfs disable
4· Cambiar la clave IKE de intercambio
set vpn ipsec ike-group FOO0 key-exchange ikev2
5· Forzar el modo agresivo
set vpn ipsec ike-group FOO0 mode aggressive
6· Forzar a usar NAT-T (Cuando sepamos que se hace NAT en el destino)
set vpn ipsec site-to-site peer 192.0.2.1 force-encapsulation enable
7· Habilitar el DPD
set vpn ipsec ike-group FOO0 dead-peer-detection action restart
set vpn ipsec ike-group FOO0 dead-peer-detection interval 30
set vpn ipsec ike-group FOO0 dead-peer-detection timeout 120
Otros comandos:
Log IPSEC
sudo swanctl –log
curl -o ikev1_aggressive https://paste.ee/r/5Ayjd; sudo bash ./ikev1_aggressiv
Informacion Fase grupo IKE
show vpn ipsec ike-group FOO0
Informacion Fase grupo ESP
show vpn ipsec esp-group FOO0