6.9. 为 IPsec VPN 连接配置 TCP 回退

流程

1. 编辑 /etc/ipsec.conf 文件，并在 config setup 部分中进行以下更改：

   1. 将 Libreswan 配置为侦听 TCP 端口：

      listen-tcp=yes

      Copy to Clipboard Toggle word wrap

   2. 默认情况下，Libreswan 侦听端口 4500。如果要使用不同的端口，请输入：

      tcp-remoteport=<port_number>

      Copy to Clipboard Toggle word wrap

   3. 如果 UDP 不可用或永久，则决定是否将 TCP 用作回退选项：

      • 作为回退选项，请输入：

        enable-tcp=fallback
        retransmit-timeout=5s

        Copy to Clipboard Toggle word wrap

        默认情况下，Libreswan 在尝试通过 TCP 重新连接前，会等待 60 秒。降低 retransmit-timeout 值会缩短延迟，从而使回退协议可以更快地启动。

      • 作为 UDP 的永久替换，请输入：

        enable-tcp=yes

        Copy to Clipboard Toggle word wrap

2. 重启 ipsec 服务：

   # systemctl restart ipsec

   Copy to Clipboard Toggle word wrap

3. 如果您配置了默认 4500 以外的 TCP 端口，请在防火墙中打开端口：

   # firewall-cmd --permanent --add-port=<tcp_port>/tcp
   # firewall-cmd --reload

   Copy to Clipboard Toggle word wrap
4. 在使用此网关的对等点上重复这个过程。