Регистрация Войти
Рейтинг:0
avatar Server

Ошибка проверки подлинности сертификата Strongswan VPN

флаг sz
user18848352

Я установил strongswan vpn на свой сервер Ubuntu. Настройте аутентификацию сертификата. Я настроил свой андроид-телефон, и он отлично работает. Но соединение не установлено на машине с Windows. Я скопировал ca-cert в корневой ca, а сертификат клиента в личное хранилище. Но получаю ошибку 13806 (неверный сертификат). Что я делаю не так?

/etc/ipsec.conf

настройка конфигурации
        # strictcrlpolicy=yes
        уникальные идентификаторы = нет
        charondebug="ike 4"

включить /var/lib/strongswan/ipsec.conf.inc

подключение% по умолчанию
        dpdaction=очистить
        dpddelay=35s
        dpdtimeout=300 с

        фрагментация=да
        ключ = нет

        ike=aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024

        esp = aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024
        # слева - локальная (серверная) сторона
        слева=% любой
        leftauth=pubkey
        leftcert=сервер.crt
        leftsendcert=всегда
        левая подсеть=0.0.0.0/0,::/0

        # справа - удаленная (клиентская) сторона
        справа=% любой
        rightauth=pubkey
        исходный код=192.168.103.0/24,2002:25f7:7489:3::/112
        правый DNS=8.8.8.8,2001:4860:4860::8888

conn ikev2-pubkey
        обмен ключами=ikev2
        авто=добавить

конн ikev2-pubkey-osx
        также = "ikev2-pubkey"
        leftid=ip_address_server

/etc/ipsec.secrets

: RSA-сервер.ключ

сертификат сервера

 тема: "CN=имя_домена"
  эмитент: "CN=IPsec CA"
  срок действия: не ранее 18 апреля 10:07:00 2022, ок
             не после 02 апреля 10:07:00 2025, ок (истекает через 1079 дней)
  серийный номер: а9:е3:а4:
  альтернативные имена: ip_address_server
  флаги: серверAuth
  идентификатор ключа: 13:f8:f0:
  subjkeyId: 5a:a8:11:
  pubkey: RSA 2048 бит, имеет закрытый ключ

сертификат клиента

тема: "CN=клиент"
  эмитент: "CN=IPsec CA"
  срок действия: не ранее 18 апреля 10:07:19 2022, ок
             не после 02 апреля 10:07:19 2025, ок (истекает через 1079 дней)
  серийный номер: 4c:e2:46:09:81:87:14:60:96:79:cf:bb:d6:62:13:68
  альтернативные имена: клиент
  флаги: clientAuth

и это журнал

09[IKE] отправляет запрос сертификата для "CN=IPsec CA"
09[ENC] генерирует ответ IKE_SA_INIT 0 [SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(CHDLESS_SUP) N(MULT_AUTH) ]
09[NET] отправка пакета: с server_ip[500] на client_ip[500] (353 байта)
07[NET] полученный пакет: от client_ip[500] до server_ip[500] (40 байт)
07[ENC] тип полезной нагрузки NOTIFY не был зашифрован
07[ENC] не удалось расшифровать полезные данные
07[IKE] проверка целостности не удалась
07[IKE] ИНФОРМАЦИОННЫЙ запрос с идентификатором сообщения 0 не удалось обработать
59
0 + 0
флаг cn
ecdsa
Проверьте журнал на другом конце. Вы можете найти причину, по которой он отправил незашифрованную полезную нагрузку уведомления.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.