Почему / usr / sbin / racoon требует входящих подключений, когда VPN активен на MacOS Sierra
Вы не можете изменить формат журнала, который создается iptables ' LOG target.
Формат фиксирован в модуле ядра xt_LOG .
Альтернативой может быть использование цели NFLOG , которая отправляет пакет через сокет netlink в группу многоадресной рассылки. Затем вам понадобится процесс usespace, который подписывается на группу и обрабатывает полученные пакеты для создания необходимого формата журнала.
Для использования IPSec обеим сторонам необходимы некоторые инструменты для обмена ключами. Вы можете произвести обмен ключами вручную, но никто этого не делает. Протокол с именем ISAKMP/IKE, используемый для обмена ключами. Он использует udp/500. В системах *BSD для этого используется демон racoon. Поскольку обмен ключами происходит при первом подключении, а затем ключи периодически обновляются, вам необходимо принять входящий udp/500для работы IPSec.
Если закрыть udp/500, IPSec может обнаружить это и использовать обход NAT (https://en.wikipedia.org/wiki/NAT_traversal#IPsec)(udp/4500), что позволяет клиенту не принимать входящие соединения. Это может быть ваш случай.