Я использую racoon на своем компьютере с Linux, чтобы включить ipsecurity. когда я настраиваю ПК1 с шифрованием фазы 1 «aes256», а ПК2 настроен с «aes128».
2021-08-18 07:18:02: ОШИБКА: не найдено подходящего предложения.
18.08.2021, 07:18:02: [192.168.95.236] ОШИБКА: не удалось получить действительное предложение.
18.08.2021, 07:18:02: [192.168.95.236] ОШИБКА: не удалось обработать пакет ph1 (сторона: 1, статус: 1).
когда я пингую с ПК1 на туннель ПК2, установленный. почему это происходит?
из подробного журнала я увидел, что когда я начинаю пинговать с ПК1 (aes256) на ПК2 (aes128). то оба устройства получают пакеты с длиной шифрования 256.
Почему ПК2 отправляет пакет с зашифрованной длиной 256 вместо 128.
как избежать установки туннеля, когда оба устройства используют разный размер шифрования aes
какие дополнительные настройки для этого?
это поведение демона racoon по умолчанию?
моя конфигурация и файл журнала показаны ниже
журнал уведомления;
путь pre_shared_key "/etc/racoon/psk.txt";
сертификат пути "/root/my_target/disk2/my-pki";
таймер {
natt_keepalive 10 секунд;
}
Слушать {
adminsock "/var/racoon/racoon.sock"; }
#начало блока криптокарты {
удаленный 192.168.95.236 {
# offer_check повиноваться;
verify_identifier включен;
обмен_режим основной;
время жизни 86400 секунд;
nat_traversal включен;
предложение {
алгоритм_шифрования aes256;
hash_algorithm sha1;
dh_group modp2048;
authentication_method pre_shared_key;
}
}
адрес sainfo 192.168.51.0/24 любой адрес 192.168.95.0/24 любой {
алгоритм_шифрования aes256;
аутентификация_алгоритм hmac_sha1;
pfs_group modp2048;
сжатие_алгоритм выкачивания;
время жизни 3600 секунд;
}
#конец блока криптокарты
Журнал ПК1
Журнал ПК1
ping с ПК2 на ПК1: согласование фазы 1 не удалось
---------------------------------------------
1970-01-01 03:00:29: ОТЛАДКА: начало.
1970-01-01 03:00:29: ОТЛАДКА: видно nptype=2(реквизит)
1970-01-01 03:00:29: ОТЛАДКА: успешно.
1970-01-01 03:00:29: ОТЛАДКА: предложение №1 len=48
1970-01-01 03:00:29: ОТЛАДКА: начало.
1970-01-01 03:00:29: ОТЛАДКА: замечен nptype=3(trns)
1970-01-01 03:00:29: ОТЛАДКА: успешно.
1970-01-01 03:00:29: ОТЛАДКА: преобразование #1 len=40
1970-01-01 03:00:29: DEBUG: type=Life Type, flag=0x8000, lorv=seconds
1970-01-01 03:00:29: ОТЛАДКА: тип=продолжительность жизни, флаг=0x0000, lorv=4
1970-01-01 03:00:29: ОТЛАДКА: тип=алгоритм шифрования, флаг=0x8000, lorv=AES-CBC
1970-01-01 03:00:29: ОТЛАДКА: шифрование (AES)
1970-01-01 03:00:29: ОТЛАДКА: тип=длина ключа, флаг=0x8000, lorv=128
1970-01-01 03:00:29: ОТЛАДКА: тип=метод аутентификации, флаг=0x8000, lorv=предварительно общий ключ
1970-01-01 03:00:29: ОТЛАДКА: type=Hash Algorithm, flag=0x8000, lorv=SHA
1970-01-01 03:00:29: ОТЛАДКА: хэш(sha1)
1970-01-01 03:00:29: DEBUG: type=Group Description, flag=0x8000, lorv=2048-битная группа MODP
1970-01-01 03:00:29: ОТЛАДКА: hmac(modp2048)
1970-01-01 03:00:29: ОТЛАДКА: пара 1:
1970-01-01 03:00:29: ОТЛАДКА: 0xb77138: следующий=(ноль) tnext=(ноль)
1970-01-01 03:00:29: ОТЛАДКА: предложение №1: 1 преобразование
1970-01-01 03:00:29: DEBUG: type=Life Type, flag=0x8000, lorv=seconds
1970-01-01 03:00:29: ОТЛАДКА: тип=продолжительность жизни, флаг=0x0000, lorv=4
1970-01-01 03:00:29: ОТЛАДКА: тип=алгоритм шифрования, флаг=0x8000, lorv=AES-CBC
1970-01-01 03:00:29: ОТЛАДКА: тип=длина ключа, флаг=0x8000, lorv=128
1970-01-01 03:00:29: ОТЛАДКА: тип=метод аутентификации, флаг=0x8000, lorv=предварительно общий ключ
1970-01-01 03:00:29: ОТЛАДКА: type=Hash Algorithm, flag=0x8000, lorv=SHA
1970-01-01 03:00:29: DEBUG: type=Group Description, flag=0x8000, lorv=2048-битная группа MODP
1970-01-01 03:00:29: ОТЛАДКА: prop#=1, prot-id=ISAKMP, spi-size=0, #trns=1
1970-01-01 03:00:29: ОТЛАДКА: trns#=1, trns-id=IKE
1970-01-01 03:00:29: ОТЛАДКА: время жизни = 86400
1970-01-01 03:00:29: ОТЛАДКА: жизненный байт = 0
1970-01-01 03:00:29: ОТЛАДКА: enctype = AES-CBC
1970-01-01 03:00:29: ОТЛАДКА: **энклен = 128**
1970-01-01 03:00:29: ОТЛАДКА: hashtype = SHA
1970-01-01 03:00:29: DEBUG: authmethod = предварительный общий ключ
1970-01-01 03:00:29: ОТЛАДКА: dh_group = 2048-битная группа MODP
1970-01-01 03:00:29: ОШИБКА: не найдено подходящего предложения.
1970-01-01 03:00:29: [192.168.95.236] ОШИБКА: не удалось получить действительное предложение.
1970-01-01 03:00:29: [192.168.95.236] ОШИБКА: не удалось обработать пакет ph1 (сторона: 1, статус: 1).
1970-01-01 03:00:39: ОТЛАДКА: ===
--------------------------------------------- ----
ping с ПК1 на ПК2: туннель установлен
--------------------------------------------- ----
970-01-01 03:04:51: ОТЛАДКА: hmac(hmac_sha1)
1970-01-01 03:04:51: ОТЛАДКА: шифрование(aes)
1970-01-01 03:04:51: ОТЛАДКА: hmac(sha1)
1970-01-01 03:04:51: ОТЛАДКА: **encklen=256** authklen=160
1970-01-01 03:04:51: ОТЛАДКА: генерация 640-битного ключа (dupkeymat=4)
1970-01-01 03:04:51: ОТЛАДКА: создание K1...K4 для KEYMAT.
1970-01-01 03:04:51: ОТЛАДКА: hmac(hmac_sha1)
1970-01-01 03:04:51: ОТЛАДКА: hmac(hmac_sha1)
1970-01-01 03:04:51: ОТЛАДКА: hmac(hmac_sha1)
1970-01-01 03:04:51: ОТЛАДКА:
2abfd8d1 ee097b9f 00218a52 7319d021 987fe829 895a5bd4 fa13723c c63061b1
975e5184 bd8bd297 75b3ab45 31a9d440 a2ced002 5f216fd6 34618b39 b23d259b
e80d14b1 a72244d9 f7983742 2b82d222
1970-01-01 03:04:51: ОТЛАДКА: KEYMAT вычисляется.
1970-01-01 03:04:51: ОТЛАДКА: вызвать pk_sendupdate
1970-01-01 03:04:51: ОТЛАДКА: шифрование(aes)
1970-01-01 03:04:51: ОТЛАДКА: hmac(sha1)
1970-01-01 03:04:51: ОТЛАДКА: вызов pfkey_send_update2
1970-01-01 03:04:51: DEBUG: отправлено обновление pfkey.
1970-01-01 03:04:51: ОТЛАДКА: шифрование(aes)
1970-01-01 03:04:51: ОТЛАДКА: hmac(sha1)
1970-01-01 03:04:51: ОТЛАДКА: вызов pfkey_send_add2 (разновидность NAT)
1970-01-01 03:04:51: ОТЛАДКА: вызов pfkey_send_add2
1970-01-01 03:04:51: ОТЛАДКА: добавление pfkey отправлено.
1970-01-01 03:04:51: ОТЛАДКА: pk_recv: повтор [0] recv()
1970-01-01 03:04:51: ОТЛАДКА: получено сообщение ОБНОВЛЕНИЯ pfkey
1970-01-01 03:04:51: ОТЛАДКА: pfkey ОБНОВЛЕНИЕ выполнено успешно: ESP/туннель 192.168.51.185[500] -> 192.168.95.236[500] spi=6990731(0x6aab8b)
1970-01-01 03:04:51: ИНФОРМАЦИЯ: IPsec-SA установлен: ESP/туннель 192.168.51.185[500] -> 192.168.95.236[500] spi=6990731(0x6aab8b)
1970-01-01 03:04:51: ОТЛАДКА: ===
1970-01-01 03:04:51: ОТЛАДКА: pk_recv: повтор [0] recv()
1970-01-01 03:04:51: DEBUG: получено сообщение pfkey ADD
1970-01-01 03:04:51: ИНФОРМАЦИЯ: IPsec-SA установлен: ESP/туннель 192.168.51.185[500]->192.168.95.236[500] spi=220361463(0xd2272f7)
1970-01-01 03:04:51: ОТЛАДКА: ===
Журнал ПК2
лог-файл ПК2
ШИФРОВАНИЕ: ПК1 (aes256) и ПК2 (aes128)
Эхо-запрос ПК на выход ПК1: согласование фазы 1 не удалось
--------------------------------------------- ----------------
17.08.2021, 13:25:31: ОТЛАДКА: pk_recv: повтор [0] recv()
2021-08-17 13:25:31: DEBUG: получено сообщение pfkey ACQUIRE
2021-08-17 13:25:31: DEBUG: найден подходящий исходящий SP: 192.168.95.0/24[0] 192.168.51.0/24[0] proto=any dir=out.
2021-08-17 13:25:31: ОТЛАДКА: sub:0x7ffffdefdbe0: 192.168.51.0/24[0] 192.168.95.0/24[0] proto=любая директория=in
2021-08-17 13:25:31: ОТЛАДКА: db: 0x18ce680: 192.168.51.0/24[0] 192.168.95.0/24[0] proto=any dir=fwd
2021-08-17 13:25:31: ОТЛАДКА: sub:0x7ffffdefdbe0: 192.168.51.0/24[0] 192.168.95.0/24[0] proto=любая директория=in
2021-08-17 13:25:31: ОТЛАДКА: db: 0x18ce900: 192.168.51.0/24[0] 192.168.95.0/24[0] proto=любая директория=in
2021-08-17 13:25:31: ОТЛАДКА: найден подходящий входящий SP: 192.168.51.0/24[0] 192.168.95.0/24[0] proto=any dir=in.
2021-08-17 13:25:31: ОТЛАДКА: новое приобретение 192.168.95.0/24[0] 192.168.51.0/24[0] proto=any dir=out
17.08.2021, 13:25:31: [192.168.51.185] ОТЛАДКА: выбрана конфигурация «192.168.51.185[500]».
2021-08-17 13:25:31: ОТЛАДКА: параметры getsainfo: loc='192.168.95.0/24' rmt='192.168.51.0/24' peer='NULL' client='NULL' id=0
2021-08-17 13:25:31: ОТЛАДКА: оценка sainfo: loc='192.168.95.0/24', rmt='192.168.51.0/24', peer='ANY', id=0
17.08.2021, 13:25:31: ОТЛАДКА: проверьте и сравните идентификаторы: значения совпадают (IPv4_subnet)
17.08.2021, 13:25:31: ОТЛАДКА: цель cmpid: «192.168.95.0/24»
2021-08-17 13:25:31: ОТЛАДКА: источник cmpid: «192.168.95.0/24»
17.08.2021, 13:25:31: ОТЛАДКА: проверьте и сравните идентификаторы: значения совпадают (IPv4_subnet)
17.08.2021, 13:25:31: ОТЛАДКА: цель cmpid: «192.168.51.0/24»
17.08.2021, 13:25:31: ОТЛАДКА: источник cmpid: «192.168.51.0/24»
2021-08-17 13:25:31: ОТЛАДКА: выбрано sainfo: loc='192.168.95.0/24', rmt='192.168.51.0/24', peer='ANY', id=0
2021-08-17 13:25:31: ОТЛАДКА: (proto_id=ESP spisize=4 spi=00000000 spi_p=00000000 encmode=Tunnel reqid=0:0)
17.08.2021, 13:25:31: ОТЛАДКА: (trns_id=AES encklen=256 authtype=hmac-sha)
17.08.2021, 13:25:31: ОТЛАДКА: в post_acquire
17.08.2021, 13:25:31: [192.168.51.185] ОТЛАДКА: выбрана конфигурация «192.168.51.185[500]».
17.08.2021, 13:25:31: ИНФОРМАЦИЯ: запрос IPsec-SA для 192.168.51.185 поставлен в очередь из-за отсутствия фазы 1.
2021-08-17 13:25:31: ОТЛАДКА: ===
17.08.2021, 13:25:31: ИНФОРМАЦИЯ: инициировать новое согласование фазы 1: 192.168.95.236[500]<=>192.168.51.185[500]
--------------------------------------------- ----
эхо-запрос ПК1 на выход ПК: туннель установлен
--------------------------------------------- ----
2021-08-17 13:20:22: ОТЛАДКА: hmac(hmac_sha1)
2021-08-17 13:20:22: ОТЛАДКА: шифрование (aes)
2021-08-17 13:20:22: ОТЛАДКА: hmac(sha1)
2021-08-17 13:20:22: ОТЛАДКА: **encklen=256** authklen=160
17.08.2021, 13:20:22: ОТЛАДКА: генерация 640-битного ключа (dupkeymat=4)
17.08.2021, 13:20:22: ОТЛАДКА: создание K1...K4 для KEYMAT.
2021-08-17 13:20:22: ОТЛАДКА: hmac(hmac_sha1)
2021-08-17 13:20:22: ОТЛАДКА: hmac(hmac_sha1)
2021-08-17 13:20:22: ОТЛАДКА: hmac(hmac_sha1)
2021-08-17 13:20:22: ОТЛАДКА:
6694f3e3 caaf74af 16233ea5 e788fc89 d1e5c074 5b881f77 5a90bf3e 90a94d46
bbb404d5 91f9ef97 77c805e4 2c741f9d c5438870 dc3d983c af70180c 35a2c3b2
аб212480 69c0ae71 23b7a340 1b1455d0
2021-08-17 13:20:22: ОТЛАДКА: KEYMAT вычисляется.
2021-08-17 13:20:22: ОТЛАДКА: вызов pk_sendupdate
2021-08-17 13:20:22: ОТЛАДКА: шифрование (aes)
2021-08-17 13:20:22: ОТЛАДКА: hmac(sha1)
2021-08-17 13:20:22: ОТЛАДКА: вызов pfkey_send_update2
17.08.2021, 13:20:22: DEBUG: отправлено обновление pfkey.
2021-08-17 13:20:22: ОТЛАДКА: шифрование (aes)
2021-08-17 13:20:22: ОТЛАДКА: hmac(sha1)
17.08.2021, 13:20:22: ОТЛАДКА: вызов pfkey_send_add2 (разновидность NAT)
2021-08-17 13:20:22: ОТЛАДКА: вызов pfkey_send_add2
17.08.2021, 13:20:22: ОТЛАДКА: добавление pfkey отправлено.
2021-08-17 13:20:22: ОТЛАДКА: pk_recv: повтор [0] recv()
17.08.2021, 13:20:22: ОТЛАДКА: получено сообщение ОБНОВЛЕНИЯ pfkey
2021-08-17 13:20:22: ОТЛАДКА: pfkey ОБНОВЛЕНИЕ выполнено успешно: ESP/туннель 192.168.95.236[500] -> 192.168.51.185[500] spi=220361463(0xd2272f7)
2021-08-17 13:20:22: ИНФОРМАЦИЯ: IPsec-SA установлен: ESP/туннель 192.168.95.236[500] -> 192.168.51.185[500] spi=220361463(0xd2272f7)
2021-08-17 13:20:22: ОТЛАДКА: ===
2021-08-17 13:20:22: ОТЛАДКА: pk_recv: повтор [0] recv()
2021-08-17 13:20:22: DEBUG: получил сообщение pfkey ADD
17.08.2021, 13:20:22: ИНФОРМАЦИЯ: IPsec-SA установлен: ESP/туннель 192.168.95.236[500] -> 192.168.51.185[500] spi=6990731(0x6aab8b)
2021-08-17 13:20:22: ОТЛАДКА: ===