Рейтинг:0

Strongswan IPsec игнорирует запрос пустого сертификата

флаг in

Я пытаюсь настроить VPN-соединение на основе сертификата с модемом (Digi WAN Connect 3G) в полевых условиях.

Использование версии ipsec Linux strongSwan U5.8.2/K5.8.0-55-generic на Ubuntu 20.04.

Я почти уверен, что правильно настраиваю сертификаты с помощью pki. После выполнения модем ipsec 15 на сервере я получаю эти сообщения:

инициация модема IKE_SA основного режима 15[1] на ..
генерация запроса ID_PROT 0 [ SA V V V V V ]
отправка пакета: из ..[500] до ..[500] (248 байт)
полученный пакет: от ..[500] до ..[500] (144 байта)
проанализированный ответ ID_PROT 0 [ SA V V V ]
получен идентификатор поставщика NAT-T (RFC 3947)
получен идентификатор поставщика draft-ietf-ipsec-nat-t-ike-00
получен draft-ietf-ipsec-nat-t-ike-02\n идентификатор поставщика
выбранное предложение: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536
генерация запроса ID_PROT 0 [ KE No NAT-D NAT-D ]
отправка пакета: из ..[500] до ..[500] (308 байт)
полученный пакет: от ..[500] до ..[500] (358 байт)
проанализированный ответ ID_PROT 0 [ KE Нет CERTREQ CERTREQ NAT-D NAT-D ]
получен запрос сертификата для 'C=AT, O=.., CN=..'
**игнорирование запроса сертификата без данных**
отправка запроса сертификата для "C=AT, O=.., CN=.."
аутентификация 'C=AT, O=.., CN=..' (сама) прошла успешно
отправка сертификата конечного объекта "C=AT, O=.., CN=.."
генерация запроса ID_PROT 0 [ID CERT SIG CERTREQ N(INITIAL_CONTACT)]
отправка пакета: из ..[500] до ..[500] (1548 байт)
отправка повторной передачи 1 сообщения запроса с идентификатором 0, последовательность 3

Затем он просто продолжает ретранслировать.

На модеме я получаю следующие сообщения об ошибках:

2021-07-06 14:42:24 Ответчик ipsec получил MM[3] и отправил MM[4]
2021-07-06 14:42:24 ipsec peer @..: основной режим i3r3, сертификат узла не прошел проверку
2021-07-06 14:42:24 ipsec peer @..: Основной режим i3r3, сообщение пира содержит неожиданный заголовок

Мой ipsec.conf выглядит следующим образом:

настройка конфигурации

подключение% по умолчанию
        ikelifetime=24 часа
        срок службы = 23 часа
        rekeymargin=10м
        ike=3des-sha-modp1536
        обмен ключами=ikev1
        authby=rsasig
        слева=% любой
        левый идентификатор = $ serverip
        leftcert=/etc/ipsec.d/certs/server-cert.pem
        leftsendcert=всегда
        левая подсеть = 172.29.0.0/24
        левый брандмауэр = да
        dpdaction=очистить
        dpddelay=300 с
        rightendcert=всегда
        авто=добавить

подключение модема15
        право=$dyndnsip
        правая подсеть=$rightsn
        rightid="C=AT, O=.., CN=modem15"

Я пробовал все варианты ipsec.conf.

В настоящее время я считаю, что ipsec на сервере должен отправлять сертификат, когда модем отправляет пустой запрос сертификата. Однако я не нашел вариантов или способов сделать это.

Вы можете помочь мне здесь? Я действительно бьюсь головой о стену с этим.

флаг cn
Запрос пустого сертификата на самом деле не является проблемой (как говорится в сообщениях журнала, он просто игнорируется). Как видите, сертификат фактически отправляется в третьем запросе MM (полезная нагрузка CERT). Но, видимо, модему не нравится сертификат сервера, поэтому он не отвечает (не знаю, что означает сообщение журнала о неожиданном заголовке). Возможно, там чего-то не хватает (например, якоря доверия), или ваши сертификаты все-таки неверны.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.