Я пытаюсь настроить VPN-соединение на основе сертификата с модемом (Digi WAN Connect 3G) в полевых условиях.
Использование версии ipsec Linux strongSwan U5.8.2/K5.8.0-55-generic на Ubuntu 20.04.
Я почти уверен, что правильно настраиваю сертификаты с помощью pki. После выполнения модем ipsec 15 на сервере я получаю эти сообщения:
инициация модема IKE_SA основного режима 15[1] на ..
генерация запроса ID_PROT 0 [ SA V V V V V ]
отправка пакета: из ..[500] до ..[500] (248 байт)
полученный пакет: от ..[500] до ..[500] (144 байта)
проанализированный ответ ID_PROT 0 [ SA V V V ]
получен идентификатор поставщика NAT-T (RFC 3947)
получен идентификатор поставщика draft-ietf-ipsec-nat-t-ike-00
получен draft-ietf-ipsec-nat-t-ike-02\n идентификатор поставщика
выбранное предложение: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536
генерация запроса ID_PROT 0 [ KE No NAT-D NAT-D ]
отправка пакета: из ..[500] до ..[500] (308 байт)
полученный пакет: от ..[500] до ..[500] (358 байт)
проанализированный ответ ID_PROT 0 [ KE Нет CERTREQ CERTREQ NAT-D NAT-D ]
получен запрос сертификата для 'C=AT, O=.., CN=..'
**игнорирование запроса сертификата без данных**
отправка запроса сертификата для "C=AT, O=.., CN=.."
аутентификация 'C=AT, O=.., CN=..' (сама) прошла успешно
отправка сертификата конечного объекта "C=AT, O=.., CN=.."
генерация запроса ID_PROT 0 [ID CERT SIG CERTREQ N(INITIAL_CONTACT)]
отправка пакета: из ..[500] до ..[500] (1548 байт)
отправка повторной передачи 1 сообщения запроса с идентификатором 0, последовательность 3
Затем он просто продолжает ретранслировать.
На модеме я получаю следующие сообщения об ошибках:
2021-07-06 14:42:24 Ответчик ipsec получил MM[3] и отправил MM[4]
2021-07-06 14:42:24 ipsec peer @..: основной режим i3r3, сертификат узла не прошел проверку
2021-07-06 14:42:24 ipsec peer @..: Основной режим i3r3, сообщение пира содержит неожиданный заголовок
Мой ipsec.conf выглядит следующим образом:
настройка конфигурации
подключение% по умолчанию
ikelifetime=24 часа
срок службы = 23 часа
rekeymargin=10м
ike=3des-sha-modp1536
обмен ключами=ikev1
authby=rsasig
слева=% любой
левый идентификатор = $ serverip
leftcert=/etc/ipsec.d/certs/server-cert.pem
leftsendcert=всегда
левая подсеть = 172.29.0.0/24
левый брандмауэр = да
dpdaction=очистить
dpddelay=300 с
rightendcert=всегда
авто=добавить
подключение модема15
право=$dyndnsip
правая подсеть=$rightsn
rightid="C=AT, O=.., CN=modem15"
Я пробовал все варианты ipsec.conf.
В настоящее время я считаю, что ipsec на сервере должен отправлять сертификат, когда модем отправляет пустой запрос сертификата. Однако я не нашел вариантов или способов сделать это.
Вы можете помочь мне здесь? Я действительно бьюсь головой о стену с этим.
