Регистрация Войти
Рейтинг:0
avatar Server

Как использовать агрессивный режим + транспортный режим + PSK для согласования SA с сервером strongswan в среде NAT-T

флаг cn
freshman.ipsec

Я использовал транспортный режим и среду NAT-T для согласования SA, а метод аутентификации однорангового узла — PSK.

Когда я использую Основной режим, согласование IKE может быть завершено обычно, логи PSK это:

6 января 01:24:06 09[CFG] <1> ищет конфигурации одноранговых узлов с предварительным общим ключом, соответствующие 192.168.163.130...10.1.1.10[10.1.1.10]
6 янв 01:24:06 09[CFG] <1> кандидат "trap-a", совпадение: 20.01.3100 (я/другой/айк)
6 января 01:24:06 09[CFG] <1> выбрана конфигурация узла "trap-a"

Но когда я использую Агрессивный режим, сильный лебедь подсказывает ошибки при обработке первого полученного сообщения:

6 января 01:45:38 05[CFG] <1> ищет конфигурации одноранговых узлов с предварительным общим ключом, соответствующие 192.168.163.130...10.1.1.10[10.1.1.10]
6 января 01:45:38 05[IKE] <1> конфигурация однорангового узла не найдена

Я проверил журнал инициализации, он выглядит без проблем, потому что идентификаторы загружаются как:

6 января 01:23:45 00[CFG] загрузка секретов из '/etc/strongswan/ipsec.secrets'
6 января 01:23:45 00[CFG] загрузил секрет IKE для %any
6 января 01:23:45 00[CFG] загрузил секрет IKE для %any
6 января 01:23:45 00[CFG] загрузил секрет IKE для 10.1.1.10

Мой конфиг как удар:

ipsec.conf

подключение% по умолчанию
    ikelifetime=6м
    срок службы=5м
    rekeymargin=3м
    попытки ввода = 1
    обмен ключами=ikev1
    ike=aes256-sha256-modp1024
    esp = aes256-sha256-modp1024
    authby=psk
    тип = транспорт
    авто=маршрут
    фрагментация=нет
    ключ = нет
    форсэнкапс=да

ловушка-а
    агрессивный=да # он будет установлен в агрессивный=нет при использовании основного режима
    слева=192.168.163.130
    левая подсеть = 192.168.163.0/24
    справа=10.1.1.10
    правая подсеть = 10.1.1.0/24
    авто=добавить

ipsec.secrets

: ПСК "123456"
%любой: PSK "123456"
10.1.1.10 : ПСК "123456"

Strongswan.conf

харон {
        load_modular = да
        i_dont_care_about_security_and_use_aggressive_mode_psk = да
        плагины {
                включить strongswan.d/charon/*.conf
        }
        install_routes = нет

        файлжурнал {
                харон {
                        путь = /etc/strongswan/logs/strongswan.log
                        time_format = %b %e %T
                        ike_name = да
                        добавить = нет
                        по умолчанию = 2
                        flush_line = да
                }
                стандартный {
                        айк = 4
                        кнл = 4
                }
        }
}

включить strongswan.d/*.conf

Что-то не так с моими конфигами?

И схема топологии сети выглядит так:

Инициатор общедоступной сети --- NAT общедоступной сети --- Ответчик интрасети
10.1.1.10---10.1.1.11--192.168.163.1------192.168.163.130

Спасибо за помощь!

51
0 + 0
флаг cn
freshman.ipsec
Я установил `aggressive=yes` в trap-a файла конфигурации, но файл журнала не предлагает `aggressive=yes` при загрузке trap-a. Это нормально?
0
Ответить
флаг cn
freshman.ipsec
В агрессивном режиме, если я установил тип полезной нагрузки идентификатора на IPv4, согласование IKE может быть выполнено в обычном режиме. Но если я установлю тип полезной нагрузки ID на KEY_ID, согласование завершится неудачно, почему?
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.