openswan补充

　　几个月前初步尝试了 Openswan，但是在最后连接的时候出现了一些问题。所以实验暂停了。

　　前两天又重新使用 Debian 、Arch 模拟两个网关，重新做了实验，成功了。其思路与前文类似，在此对一些新发现的东西做记录、解释。

　　1. Openswan 服务

　　ipsec 的服务脚本有多个版本，Debian 包中自带的脚本版本较新，Arch 稍旧。不过使用上都没有问题。Openswan 的脚本其实就是调用 ipsec 的脚本。

　　2. 关于 Opportunistic Encryption

　　在用OpenSWAN做Linux下的IPSec VPN的详细配置指南 里面提到：

　　另外，这一行include /etc/ipsec.d/examples/no_oe.conf意为关闭Opportunistic Encryption在你不知道她到底做了什么之前，还是关掉她为好，打开no_oe.conf文件，发现其内容如下，我们将在本文的第五部分讨论这个话题。

　　在 Arch 的 ipsec.conf 文件里面，默认并没有关闭 OE，这导致我一旦启动了 Openswan 服务，网络接口就不生效了。那么 OE 到底是什么呢？加密方式？暂时还没搞清楚。

　　3.Arch 下的一点小问题

　　Arch 很优雅的把 /etc/ipsec.d/policies/clear 里面添加了许多网段，暂时只发现他们会在ipsec启动的时候添加许多路由信息，还不清楚具体的作用。

　　接下来的实验：

　　erjing 说过，相同的设备之间 ipsec 还不是很难。难是难在不同的设备之间如何配置 ipsec vpn 通道。

　　地下就想试试 linux-fortigate 之间的配置了。