StrongSwan IPsec连接中local_addrs配置失效问题分析与解决方案

问题背景

在最新版本的StrongSwan（主分支）中，发现了一个与IPsec连接配置相关的重要问题：当配置了local_addrs参数时，系统仍然会接受来自未指定本地IP地址的连接请求。这个问题在5.9.14版本中不存在，但在最新主分支版本中出现。

问题现象

在测试环境中，我们配置了两台设备（Device A和Device B）之间的IPsec连接：

• Device A（发起方）配置了remote_addrs = 10.0.11.1
• Device B（响应方）配置了local_addrs = 10.0.10.1

按照预期，Device B应该只接受目标地址为10.0.10.1的连接请求。然而实际测试中，Device B却接受了目标地址为10.0.11.1的连接请求，这与配置不符。

技术分析

经过深入分析，这个问题源于StrongSwan代码库中的一个特定提交（9228a5109b8d9a6e1469abefba2fdfc44aeabe7a）。这个修改导致系统在匹配连接配置时，会考虑所有端口匹配的配置，而忽略了IP地址的匹配条件。

具体来说，在IKE配置匹配过程中：

1. 系统会收集所有可能的候选配置
2. 然后根据匹配条件进行筛选
3. 由于上述提交的修改，端口匹配的配置会被优先考虑，而IP地址匹配条件被弱化

解决方案

StrongSwan开发团队已经针对此问题提供了修复方案（提交08b9a49）。这个修复的核心思想是：只有在IP地址匹配的情况下，才考虑端口信息。

修复后的匹配逻辑变为：

1. 首先严格匹配IP地址
2. 只有在IP地址匹配的情况下，才进一步考虑端口匹配
3. 确保配置的local_addrs参数得到严格执行

影响范围

这个问题会影响以下场景：

• 多宿主设备（多个网络接口）
• 需要严格限制连接来源IP地址的环境
• 依赖local_addrs参数进行访问控制的部署

验证结果

测试表明，应用修复补丁后：

1. 系统严格遵循local_addrs配置
2. 不会接受未指定IP地址的连接请求
3. 恢复了5.9.14版本中的预期行为

最佳实践建议

对于使用StrongSwan的用户，建议：

1. 及时更新到包含此修复的版本
2. 在多宿主环境中仔细检查连接配置
3. 在生产环境升级前进行充分测试
4. 明确指定local_addrs和remote_addrs参数

总结

StrongSwan作为成熟的IPsec实现，其配置参数的精确性对网络安全至关重要。这次发现的问题提醒我们，即使在成熟的开源项目中，配置参数的实现细节也可能随着版本更新而变化。保持对最新版本的关注，理解其行为变化，是确保网络安全的重要环节。