# /etc/ipsec.conf - vm-test-05

config setup
        charonstart=yes #par defaut
        plutostart=no #yes par defaut
        strictcrlpolicy=no #no par defaut
        uniqueids=yes #par defaut
        charondebug=4
        crlcheckinterval=180 #IKEv1 slmt. 0s par defaut
        cachecrls=yes #no par defaut 
        keep_alive=20s #IKEv1 slmt. 20s par defaut
        nat_traversal=yes #no par defaut et utile slmt pour IKEv1 car toujours actif pour IKEv2.
        nocrsend=no #IKEv1 slmt. no par defaut
        pkcs11keepstate=no #par defaut
        pkcs11proxy=no #par defaut
#pkcs11initargs=
#pkcs11module=
#plutodebug=none
#plutostderrlog=
#postpluto=
#prepluto=
#virtual_private= IKEv1 slmt

ca CA_certificate
        cacert=caCert.pem
        auto=add

conn %default
        auth=esp #par defaut
        authby=pubkey #pubkey par defaut
        compress=no #par defaut
        dpdaction=none #par defaut
        dpddelay=30s #par defaut
        dpdtimeout=150s #par defaut. utile pour IKEv1 slmt
        forceencaps=no #par defaut
        ikelifetime=60m #3h par defaut
        installpolicy=yes #par defaut
        keyexchange=ikev2 #ike par defaut (~ikev2 pour versions superieures à 4.5, et ikev1 sinon)
        keyingtries=1 #3 par defaut
        keylife=20m #1h par defaut
        lifebytes=0 #par defaut. IKEv2 slmt
        lifepackets=0 #par defaut. IKEv2 slmt
        marginbytes=0 #par defaut. IKEv2 slmt
        marginpackets=0 #par defaut. IKEv2 slmt
        mobike=yes #par defaut
        modeconfig=pull #par defaut
        pfs=yes #par defaut
        reauth=yes #par defaut
        rekey=yes #par defaut
        rekeyfuzz=100% #par defaut
        rekeymargin=3m #9m par defaut
        type=tunnel #par defaut
        xauth=client #utile si XAuth a ete active par authby=xauthpsk
        inactivity=24h #ikev2 slmt
	ike=aes256-sha1-modp2048,aes128-sha1-modp2048
#esp=aes256-sha1-modp2048,aes128-sha1-modp2048 
#ike=aes256-sha1-modp2048,aes128-sha1-modp2048
#aaa_identity=
#closeaction=none par defaut (parametre inconnu pr strongswan 4.4.1)
#also=
#eap=
#eap_identity=
#mark=
#mark_in=
#mark_out=
#pfsgroup= (seulement IKEv1)
#reqid=
#xauth_identity=
conn home
        auto=add #ignore par defaut
        left=vm-test-amd64-linux-squeeze-05.showroom.nss.thales
        leftallowany=yes #no par defaut 
        leftfirewall=yes #no par defaut 
        lefthostaccess=yes #no par defaut       
        leftsendcert=ifasked #ifasked par defaut        
        leftsubnet=192.168.21.125/32 #par defaut si rien n'est mentionne        
        leftcert=vmtest05Cert.pem
        leftid="C=FR, O=Thales, CN=vmtest05"
        leftrsasigkey=%cert
        right=vm-test-amd64-linux-squeeze-03.showroom.nss.thales
        rightid="C=FR, O=Thales, CN=vmtest03"
        rightallowany=no #par defaut    
        rightfirewall=no #par defaut    
        righthostaccess=yes #no par defaut
        rightsendcert=ifasked #ifasked par defaut
        rightsubnet=192.168.21.123/32
        rightrsasigkey=%cert
        mediation=no #par defaut
#ike=aes256-sha1-modp2048,aes128-sha1-modp2048
#leftauth= (seulement IKEv2)
#leftauth2= (seulement IKEv2)
#leftca=
#leftca2=
#leftcert2=
#leftgroups=
#leftid2= (seulement IKEv2)
#leftikeport=500
#leftnexthop=
#leftprotoport=
#leftsourceip=
#leftsubnetwithin=
#leftupdown=
#rightauth= (seulement IKEv2)   
#rightauth2= (seulement IKEv2)  
#rightca=
#rightca2=
#rightcert=
#rightcert2=
#rightgroups=
#rightid=
#rightid2= (seulement IKEv2)
#rightnexthop=
#rightprotoport=
#rightsourceip=
#rightsubnetwithin=
#rightupdown=
#mediated_by=
#me_peerid=
conn rw-server
        left=192.168.21.125
        leftsubnet=192.168.21.125/32
        right=%any
        rightsourceip=10.3.0.0/16
        leftid="CN=srv, OU=load-test, O=strongSwan"
        leftcert=responder_cert.pem
        authby=pubkey
        keyexchange=ikev2
        type=tunnel
        auto=add