ike-scan — online w chmurze

PROGRAM:

IMIĘ

ike-scan — wykrywanie i odciski palców hostów IKE (serwery IPsec VPN)

STRESZCZENIE

Ike-skan [Opcje] [gospodarze...]

Hosty docelowe muszą być określone w wierszu poleceń, chyba że --plik opcja jest określona.

OPIS

Ike-skan wykrywa hosty IKE i może je również odciskać palcami za pomocą retransmisji
wzór wycofywania.

Ike-skan robi dwie rzeczy:

1) Wykrywanie: Określ, na których hostach działa usługa IKE. Odbywa się to poprzez wyświetlanie tych
hosty, które odpowiadają na żądania IKE wysłane przez Ike-skan.

2) Odcisk palca: Określ, której implementacji IKE używają hosty. Są
można to zrobić na kilka sposobów: (a) Backoff fingerprinting - rejestrowanie czasów
Pakiety odpowiedzi IKE od hostów docelowych i porównanie zaobserwowanych
wzorzec odczekiwania retransmisji w stosunku do znanych wzorców; (b) odcisk palca identyfikatora dostawcy
- dopasowywanie identyfikatorów dostawców specyficznych dla znanych wzorców identyfikatorów dostawców; i C)
zastrzeżone kody powiadamiania.

Koncepcja odcisku palca retransmisji po wycofaniu jest omówiona bardziej szczegółowo w UDP
papier do odcisków palców, który powinien znajdować się w zestawie ike-scan jako udp-odczekanie-
odcisk-papieru.txt.

Program wysyła żądania IKE Phase-1 do określonych hostów i wyświetla wszelkie odpowiedzi
które są odbierane. Obsługuje ponowną próbę i retransmisję z odczekaniem, aby poradzić sobie z pakietem
strata. Ogranicza również przepustowość wykorzystywaną przez wychodzące pakiety IKE.

IKE to protokół wymiany kluczy internetowych, który jest wymianą kluczy i uwierzytelnianiem
mechanizm używany przez IPsec. Prawie wszystkie nowoczesne systemy VPN implementują protokół IPsec, a ogromna
większość sieci VPN IPsec używa IKE do wymiany kluczy.

Phase-1 ma dwa tryby: tryb główny i tryb agresywny. ike-scan obsługuje zarówno Main, jak i
Tryb agresywny i domyślnie używa trybu głównego. RFC 2409 (IKE) sekcja 5 określa, że
musi być zaimplementowany tryb główny, dlatego można oczekiwać, że wszystkie implementacje IKE będą:
obsługuje tryb główny.

OPCJE

--help or -h
Wyświetl ten komunikat o użyciu i zakończ.

--plik= or -f
Czytaj nazwy hostów lub adresy z określonego pliku zamiast z polecenia
linia. Jedna nazwa lub adres IP w wierszu. Użyj "-" dla standardowego wejścia.

--sport= or -s
Ustaw port źródłowy UDP na , domyślnie=500, 0=losowo. Niektóre wdrożenia IKE
wymagać od klienta używania portu źródłowego UDP 500 i nie będzie komunikować się z innymi portami.
Pamiętaj, że do korzystania z niezerowych portów źródłowych zwykle wymagane są uprawnienia superużytkownika
poniżej 1024. Również tylko jeden proces w systemie może wiązać się z danym portem źródłowym w
kiedykolwiek. Użycie opcji --nat-t zmienia domyślny port źródłowy na 4500

--dport= or -d
Ustaw port docelowy UDP na , domyślnie = 500. Port UDP 500 jest przypisanym portem
numer dla ISAKMP i jest to port używany przez większość, jeśli nie wszystkie, implementacje IKE.
Użycie opcji --nat-t zmienia domyślny port docelowy na 4500

--ponowna próba= or -r
Ustaw całkowitą liczbę prób na hosta na , domyślnie=3.

--timeout= or -t
Ustaw początkowy limit czasu hosta na ms, domyślnie=500. Ten limit czasu jest pierwszy
pakiet wysłany do każdego hosta. kolejne limity czasu są mnożone przez współczynnik odczekiwania
który jest ustawiany za pomocą --backoff.

--przepustowość= or -B
Ustaw żądaną przepustowość wychodzącą na , domyślnie=56000 Wartość jest w bitach na
domyślnie drugi. Jeśli do wartości dodasz „K”, jednostkami są kilobity na
druga; a jeśli dodasz "M" do wartości, jednostkami są megabity na sekundę. ten
Przyrostki „K” i „M” reprezentują wielokrotności dziesiętne, a nie binarne. Więc 64K to
64000, a nie 65536.

--interwał= or -i
Ustaw minimalny interwał pakietów na SM. Interwał pakietów nie będzie mniejszy niż
ten numer. Podany interwał jest domyślnie podawany w milisekundach. jeśli "u" to
dodawane do wartości, to interwał jest w mikrosekundach, a jeśli „s” to
dołączony interwał jest w sekundach. Jeśli chcesz wykorzystać do określonej przepustowości,
wtedy łatwiej jest użyć opcji --bandwidth. Nie możesz określić obu
--interval i --bandwidth, ponieważ są to po prostu różne sposoby na zmianę tego samego
zmienna bazowa.

--backoff= or -b
Ustaw współczynnik wycofywania limitu czasu na , domyślnie = 1.50. Limit czasu dla hosta wynosi
pomnożone przez ten współczynnik po każdym limicie czasu. Tak więc, jeśli liczba ponownych prób wynosi 3,
początkowy limit czasu na host wynosi 500 ms, a współczynnik odczekiwania wynosi 1.5, a następnie pierwszy
limit czasu wyniesie 500ms, drugi 750ms, a trzeci 1125ms.

--gadatliwy or -v
Wyświetlaj szczegółowe komunikaty o postępie. Użyj więcej niż raz, aby uzyskać lepszy efekt: 1 - Pokaż
po zakończeniu każdego przejścia i otrzymaniu pakietów z nieprawidłowymi plikami cookie. 2
- Pokaż każdy wysłany i odebrany pakiet oraz kiedy hosty są usuwane z listy. 3 -
Wyświetl listę hostów, identyfikatorów dostawców i listy wycofywania przed rozpoczęciem skanowania.

--cichy or -q
Nie dekoduj zwróconego pakietu. Powoduje to wydrukowanie mniej informacji o protokole, więc
linie wyjściowe są krótsze.

--multilinia or -M
Podziel dekodowanie ładunku na wiele wierszy. Dzięki tej opcji dekodowanie dla
każdy ładunek jest drukowany w oddzielnym wierszu zaczynającym się od TAB. Ta opcja sprawia, że
dane wyjściowe są łatwiejsze do odczytania, zwłaszcza gdy jest wiele ładunków.

--żywotność= or -l
Ustaw czas życia IKE na sekundy, domyślnie=28800. RFC 2407 określa 28800 jako
domyślnie, ale niektóre implementacje mogą wymagać innych wartości. Jeśli określisz
to jako dziesiętna liczba całkowita, np. 86400, wtedy atrybut będzie używał 4 bajtów
wartość. Jeśli podasz go jako liczbę szesnastkową, np. 0xFF, atrybut użyje
odpowiednią wartość rozmiaru (jeden bajt w tym przykładzie). Jeśli określisz ciąg
"none" to żaden atrybut czasu życia nie zostanie dodany. Możesz skorzystać z tej opcji
więcej niż raz w połączeniu z opcjami --trans, aby wytworzyć wiele
przekształcać ładunki o różnych cyklach życia. Każda opcja --trans użyje
wcześniej określona wartość życia.

--lifesize= or -z
Ustaw rozmiar życia IKE na kilobajty, domyślnie=0. Jeśli określisz to jako aa dziesiętne
liczba całkowita, np. 86400, wtedy atrybut będzie używał wartości 4 bajtowej. Jeśli określisz
to jako liczba szesnastkowa, np. 0xFF, wtedy atrybut będzie używał odpowiedniego rozmiaru
wartość (jeden bajt w tym przykładzie). Możesz użyć tej opcji więcej niż raz w
w połączeniu z opcjami --trans, aby utworzyć wiele ładunków transformacji za pomocą
różne wielkości życia. Każda opcja --trans użyje poprzednio określonej
wartość naturalnej wielkości.

--auth= or -m
Ustaw autoryzację. metoda do , domyślnie=1 (PSK). Zdefiniowane wartości RFC to od 1 do 5. Zobacz RFC
2409 Dodatek A. Tryb hybrydowy Checkpoint to 64221. GSS (Windows „Kerberos”) to
65001. XAUTH używa 65001 do 65010. Nie dotyczy to IKEv2.

--wersja or -V
Wyświetl wersję programu i wyjdź.

--dostawca= or -e
Ustaw ciąg identyfikatora dostawcy na wartość szesnastkową . Możesz użyć tej opcji więcej niż raz, aby
wyślij wiele ładunków z identyfikatorami dostawcy.

--trans= or -a
Użyj niestandardowej transformacji zamiast domyślnego zestawu. Z tej opcji możesz korzystać częściej niż
raz, aby wysłać dowolną liczbę niestandardowych przekształceń. Są dwa sposoby, aby
określ transformację: nowy sposób, w którym określasz pary atrybut/wartość,
i stary sposób, w którym określasz wartości dla stałej listy atrybutów. Do
nowa metoda, transform jest określony jako (atrybut=wartość, atr=wartość, ...)
Gdzie „attr” to numer atrybutu, a „value” to wartość, którą należy mu przypisać
atrybut. Możesz określić dowolną liczbę par atrybut/wartość. Zobacz RFC
2409 Dodatek A zawiera szczegółowe informacje o atrybutach i wartościach. Zwróć uwagę, że nawiasy są
specjalne dla niektórych muszli, więc może być konieczne ich zacytowanie, np.
--trans="(1=1,2=2,3=3,4=4)". For example, --trans=(1=1,2=2,3=1,4=2) specifies
Enc=3DES-CBC, Hash=SHA1, Auth=klucz wspólny, DH Group=2; oraz
--trans=(1=7,14=128,2=1,3=3,4=5) określa Enc=AES/128, Hash=MD5, Auth=RSA sig, DH
Grupa=5. W przypadku starej metody transform jest określony jako
enc[/len],hasz,uwierzytelnianie,grupa. Gdzie enc jest algorytmem szyfrowania, len jest kluczem
długość szyfrów o zmiennej długości, hash to algorytm haszujący, a group to DH
Grupa. Na przykład --trans=5,2,1,2 określa Enc=3DES-CBC, Hash=SHA1, Auth=shared
klucz, Grupa DH=2; a --trans=7/256,1,1,5 określa Enc=AES-256, Hash=MD5,
Auth=klucz wspólny, Grupa DH=5. Ta opcja nie jest jeszcze obsługiwana w przypadku protokołu IKEv2.

--showbackoff[= ] or -o[ ]
Wyświetl tabelę odcisków palców wycofywania. Wyświetl tabelę wycofywania do odcisku palca
implementacja IKE na zdalnych hostach. Opcjonalny argument określa czas
czekać w sekundach po otrzymaniu ostatniego pakietu, domyślnie=60. Jeśli używasz
krótka forma opcji (-o) to wartość musi następować bezpośrednio po opcji
litera bez spacji, np. -o25 nie -o 25.

--fuzz= or -u
Ustaw fuzz dopasowania do wzorca na ms, domyślnie=500. To ustawia maksymalne dopuszczalne
różnica między obserwowanymi czasami odczekiwania a czasami odniesienia w
plik wzorców wycofywania. Większe wartości pozwalają na większą wariancję, ale także zwiększają
ryzyko fałszywych pozytywnych identyfikacji. Dowolny fuzz dla każdego wpisu wzorca
specyfikacje w pliku wzorców zastąpią ustawioną tutaj wartość.

--wzory= or -p
Użyj pliku wzorców wycofywania IKE , default=/usr/local/share/ike-scan/ike-backoff-
wzory. Określa nazwę pliku zawierającego wzorce wycofywania IKE.
Ten plik jest używany tylko wtedy, gdy określono --showbackoff.

--vidpatterns= or -I
Użyj pliku wzorców identyfikatora dostawcy , default=/usr/local/share/ike-scan/ike-vendor-ids.
Określa nazwę pliku zawierającego wzorce identyfikatora dostawcy. Te wzory
są używane do odcisku palca identyfikatora dostawcy.

--agresywny or -A
Użyj trybu agresywnego IKE (domyślnie jest to tryb główny) Jeśli określisz --aggressive,
możesz również określić --dhgroup, --id i --idtype. Jeśli używasz niestandardowego
transformuje w trybie agresywnym z opcją --trans, zauważ, że wszystkie transformacje
powinna mieć tę samą grupę DH i powinna odpowiadać grupie określonej z
--dhgroup lub domyślne, jeśli --dhgroup nie jest używane.

--id= or -n
Posługiwać się jako wartość identyfikacyjna. Ta opcja ma zastosowanie tylko do Agressive
Tryb. można określić jako ciąg, np. --id=test lub jako wartość szesnastkową z a
na początku „0x”, np. --id=0xdeadbeef.

--idtype= or -y
Użyj typu identyfikacji . Domyślnie 3 (ID_USER_FQDN). Ta opcja jest tylko
dotyczy trybu agresywnego. Zobacz RFC 2407 4.6.2, aby uzyskać szczegółowe informacje na temat identyfikacji
rodzaje.

--dhgrupa= or -g
Użyj grupy Diffie Hellman . Domyślnie 2. Ta opcja ma zastosowanie tylko do
Tryb agresywny i IKEv2. W obu przypadkach służy do określenia rozmiaru
ładunek wymiany kluczy. Jeśli używasz trybu agresywnego z niestandardowymi przekształceniami, to
zwykle będziesz musiał użyć opcji --dhgroup, chyba że używasz domyślnej
Grupa DH. Dopuszczalne wartości to 1,2,5,14,15,16,17,18 (tylko MODP).

--gssid= or -G
Użyj identyfikatora GSS gdzie jest ciągiem szesnastkowym. Wykorzystuje typ atrybutu transformacji 16384
jak określono w draft-ietf-ipsec-isakmp-gss-auth-07.txt, chociaż system Windows-2000 ma
zaobserwowano również użycie 32001. W systemie Windows 2000 musisz użyć
--auth=65001, aby określić uwierzytelnianie Kerberos (GSS).

--losowy or -R
Losuj listę hostów. Ta opcja losuje kolejność hostów w hoście
listy, dzięki czemu sondy IKE są wysyłane do hostów w losowej kolejności. Wykorzystuje Knuth
algorytm losowania.

--tcp[= ] or -T[ ]
Użyj transportu TCP zamiast UDP. Pozwala to przetestować hosta, na którym działa IKE
TCP. Zwykle nie będziesz potrzebować tej opcji, ponieważ zdecydowana większość IPsec
systemy obsługują tylko IKE przez UDP. Opcjonalna wartość określa rodzaj
IKE przez TCP. Obecnie istnieją dwie możliwe wartości: 1 = RAW IKE przez TCP as
używane przez Checkpoint (domyślnie); 2 = Enkapsulowane IKE przez TCP używane przez firmę Cisco. Gdyby
używasz skróconej formy opcji (-T) to wartość musi natychmiast
podążaj za literą opcji bez spacji, np. -T2 nie -T 2. Możesz podać tylko a
pojedynczy host docelowy, jeśli używasz tej opcji.

--tcptimeout= or -O
Ustaw limit czasu połączenia TCP na sekund (domyślnie=10). Ma to zastosowanie tylko do
Tryb transportu TCP.

--pskcrack[= ] or -P[ ]
Złamać klucze współdzielone w trybie agresywnym. Ta opcja wyświetla tryb agresywny
Parametry klucza wstępnego (PSK) do łamania offline za pomocą programu „psk-crack”
który jest dostarczany z ike-scanem. Możesz opcjonalnie określić nazwę pliku, , do
zapisz parametry PSK. Jeśli nie określisz nazwy pliku, PSK
parametry są zapisywane na standardowe wyjście. Jeśli używasz skróconej formy
opcja (-P) wtedy wartość musi następować bezpośrednio po literze opcji bez no
spacje, np. -Pfile nie -P plik. Możesz określić tylko jednego hosta docelowego, jeśli:
użyj tej opcji. Ta opcja dotyczy tylko trybu agresywnego IKE.

--nodn or -N
Nie używaj DNS do rozpoznawania nazw. Jeśli użyjesz tej opcji, wszystkie hosty muszą być
określone jako adresy IP.

--noncelen= or -c
Ustaw długość jednorazową na bajty. Domyślnie=20 Ta opcja kontroluje długość
ładunek jednorazowy, który jest wysyłany w trybie agresywnym lub w żądaniu IKEv2. Normalnie
nie ma potrzeby używania tej opcji, chyba że chcesz zmniejszyć rozmiar jednorazowy do
przyspieszyć łamanie klucza współdzielonego lub jeśli chcesz zobaczyć, jak dany serwer
obsługuje ładunki nonce o różnej długości. RFC 2409 stwierdza, że ​​długość nonce
ładunek musi mieć od 8 do 256 bajtów, ale ike-scan tego nie wymusza.
Określenie dużej długości nonce zwiększy rozmiar pakietu wysyłanego przez ike-
skanowanie. Bardzo duża długość nonce może spowodować fragmentację lub przekroczenie maksymalnego IP
rozmiar pakietu. Ta opcja dotyczy tylko trybu agresywnego IKE.

--headerlen= or -L
Ustaw długość w nagłówku ISAKMP na bajty. Możesz użyć tej opcji, aby
ręcznie określ wartość, która ma być używana dla długości nagłówka ISAKMP. Domyślnie,
ike-scan wprowadzi poprawną wartość. Użyj tej opcji, aby ręcznie określić
nieprawidłowa długość. można określić jako „+n”, co ustawia długość na n bajtów
więcej niż powinno być, "-n", co ustawia go na n bajtów mniej, lub "n", co ustawia go na
dokładnie bajtów. Czasami zmiana długości nagłówka na nieprawidłową wartość
zakłócać serwery VPN.

--mbz= or -Z
Użyj wartości dla pól zarezerwowanych (MBZ) domyślnie=0. Określanie tej opcji
sprawia, że ​​wychodzący pakiet nie jest zgodny z RFC i powinien być używany tylko wtedy, gdy chcesz
zobacz, jak serwer VPN zareaguje na nieprawidłowe pakiety. Wartość Powinien być
w zakresie 0-255.

--headerver= or -E
Określ wersję nagłówka ISAKMP. Wartość domyślna to 0x10 (16), co odpowiada
v1.0. Określenie wartości innej niż domyślna sprawi, że wychodzący pakiet nie będzie zgodny z RFC
zgodny i powinien być używany tylko wtedy, gdy chcesz zobaczyć, jak reaguje serwer VPN
dziwne wersje. Wartość powinna mieścić się w zakresie 0-255.

--certreq= or -C
Dodaj ładunek CertificateRequest . należy podać jako wartość szesnastkową.
Pierwszy bajt wartości szesnastkowej zostanie zinterpretowany jako typ certyfikatu; ten
pozostałe bajty jako urząd certyfikacji, jak opisano w RFC 2408 3.10. ten
typy certyfikatów są wymienione w RFC 2408 sek 3.9. RFC 2048 stwierdza „Certyfikat
Żądanie ładunku MUSI zostać zaakceptowane w dowolnym momencie wymiany"

--doi= or -D
Ustaw SA DOI na , domyślnie 1 (IPsec). Zwykle nie będziesz chciał się zmienić
to chyba że chcesz zobaczyć, jak serwer VPN reaguje na niestandardowy DOI.

--sytuacja= or -S
Ustaw sytuację SA na , domyślnie 1. Znaczenie sytuacji zależy od
DOI i jest wyszczególniony w odpowiednim dokumencie DOI. W przypadku IPsec DOI,
domyślna sytuacja 1 oznacza SIT_IDENTITY_ONLY. Zwykle nie będziesz chciał
zmień to, chyba że chcesz zobaczyć, jak serwer VPN reaguje na niestandardowe
sytuacja.

--protokół= or -j
Ustaw identyfikator protokołu propozycji na , domyślnie 1. Znaczenie propozycji
identyfikator protokołu zależy od numeru DOI i jest wyszczególniony w odpowiednim dokumencie DOI.
W przypadku IPsec DOI domyślny identyfikator protokołu propozycji równy 1 reprezentuje PROTO_ISAKMP.
Zwykle nie chcesz tego zmieniać, chyba że chcesz zobaczyć, jak działa serwer VPN
odpowiada na niestandardowy identyfikator protokołu.

--transid= or -k
Ustaw identyfikator transformacji na , domyślnie 1. Znaczenie identyfikatora transformacji zależy od
DOI i jest wyszczególniony w odpowiednim dokumencie DOI. W przypadku IPsec DOI,
domyślny identyfikator transformacji równy 1 reprezentuje KEY_IKE. Zwykle nie będziesz chciał się zmienić
chyba że chcesz zobaczyć, jak serwer VPN reaguje na niestandardową transformację
ID.

--spisize=
Ustaw rozmiar SPI propozycji na . Domyślnie=0 Jeśli jest niezerowe, to losowy SPI
określonego rozmiaru zostanie dodany do ładunku propozycji. Domyślne zero
oznacza brak SPI.

--hdrflagi=
Ustaw flagi nagłówka ISAKMP na . Domyślnie=0 Flagi są szczegółowo opisane w RFC 2408
sekcja 3.1

--hdrmsgid=
Ustaw identyfikator wiadomości nagłówka ISAKMP na . Domyślnie=0 Powinno to być zero dla IKE
Faza 1.

--ciastko=
Ustaw plik cookie inicjatora ISAKMP na Wartość pliku cookie należy podać w postaci szesnastkowej.
Domyślnie pliki cookie są generowane automatycznie i mają unikalne wartości. Jeśli ty
określ tę opcję, wtedy możesz określić tylko jeden cel, ponieważ ike-scan
wymaga unikalnych wartości plików cookie, aby dopasować pakiety odpowiedzi.

--exchange=
Ustaw typ wymiany na Ta opcja pozwala zmienić rodzaj wymiany w
nagłówek ISAKMP na dowolną wartość. Pamiętaj, że ike-scan obsługuje tylko Main i
Tryby agresywne (odpowiednio wartości 2 i 4). Określenie innych wartości spowoduje
zmienić wartość typu wymiany w nagłówku ISAKMP, ale nie dostosuje drugiej
ładunki. Typy wymiany są zdefiniowane w RFC 2408 sek 3.1.

--nextpayload=
Ustaw następny ładunek w nagłówku ISAKMP na Zwykle następny ładunek to
automatycznie ustawiana na prawidłową wartość.

--losowe ziarno=
Posługiwać się aby zainicjować generator liczb pseudolosowych. Ta opcja zasiewa PRNG
o określonej liczbie, co może być przydatne, jeśli chcesz mieć pewność, że
dane pakietowe są dokładnie powtarzalne, gdy zawierają ładunki z losowymi danymi, takie jak
jako wymiana kluczy lub jednorazowa. Domyślnie PRNG zawiera nieprzewidywalne
wartość.

--znak czasu
Wyświetlaj znaczniki czasu dla odebranych pakietów. Ta opcja powoduje, że znacznik czasu jest
wyświetlane dla każdego odebranego pakietu.

--sourceip=
Ustaw źródłowy adres IP dla pakietów wychodzących na . Ta opcja powoduje, że wychodzące
pakiety IKE, aby mieć określony źródłowy adres IP. Adres może być
Adres IP w formacie czwórki z kropkami lub ciąg „losowy”, który będzie używał innego
losowy adres źródłowy dla każdego wysyłanego pakietu. Jeśli ta opcja jest używana, nie
pakiety zostaną odebrane Ta opcja wymaga obsługi surowych gniazd i będziesz potrzebować
uprawnienia superużytkownika do korzystania z tej opcji, nawet jeśli określisz wysoki port źródłowy.
Ta opcja nie działa we wszystkich systemach operacyjnych.

--pokaż numer
Wyświetla numer hosta dla odebranych pakietów. To wyświetla hosta porządkowego
numer odpowiadającego hosta przed adresem IP. Może się przydać podczas wysyłania
wiele pakietów do tego samego docelowego adresu IP, aby sprawdzić, czy jakiekolwiek sondy są ignorowane.

--na-t
Użyj enkapsulacji RFC 3947 NAT-Traversal. Ta opcja dodaje znacznik non-ESP do
początek wychodzących pakietów i usuwa go z otrzymanych pakietów, zgodnie z opisem
w RFC 3947. Zmienia również domyślny port źródłowy na 4500 i domyślny
port docelowy to 4500, które są portami dla NAT-T IKE. Te numery portów
można zmienić za pomocą opcji --sport i --dport, pod warunkiem, że zostaną użyte później
opcja --nat-t.

--rcookie=
Ustaw plik cookie odpowiadający ISAKMP na . To ustawia plik cookie odpowiadający na
określona wartość szesnastkowa. Domyślnie plik cookie odpowiadający jest ustawiony na zero.

--ikev2 or -2
Użyj IKE w wersji 2 Powoduje to, że wychodzące pakiety używają formatu IKEv2 zgodnie z definicją
w RFC 4306 zamiast domyślnego formatu IKEv1. Wszelkie zwrócone pakiety są
automatycznie dekodowane jako IKE lub IKEv2 w zależności od ich ładunku niezależnie od
ta opcja. Opcja --ikev2 jest obecnie eksperymentalna. Nie było
gruntownie przetestowany i obsługuje tylko wysyłanie domyślnej propozycji.

Korzystaj z ike-scan online za pomocą usług onworks.net