înregistrare Logare
Puncte:0
curious_weather avatar Server

Strongswan IPsec ignoră cererea de certificat goală

drapel in
curious_weather

Încerc să configurez o conexiune VPN bazată pe certificat la un modem (un Digi WAN Connect 3G) pe teren.

Folosind versiunea ipsec Linux strongSwan U5.8.2/K5.8.0-55-generic pe Ubuntu 20.04.

Sunt destul de sigur că configurez certificatele corect cu pki. După executare ipsec up modem15 pe server primesc aceste mesaje:

inițierea modului principal IKE_SA modem15[1] la ..
generarea cererii ID_PROT 0 [ SA V V V V V ]
expediere pachet: de la ..[500] la ..[500] (248 octeți)
pachet primit: de la ..[500] la ..[500] (144 de octeți)
răspuns ID_PROT analizat 0 [ SA V V V ]
a primit ID-ul de furnizor NAT-T (RFC 3947).
a primit ID-ul de furnizor draft-ietf-ipsec-nat-t-ike-00
a primit draft-ietf-ipsec-nat-t-ike-02\n ID de furnizor
propunere selectată: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536
se generează cererea ID_PROT 0 [ KE Nu NAT-D NAT-D ]
expediere pachet: de la ..[500] la ..[500] (308 octeți)
pachet primit: de la ..[500] la ..[500] (358 octeți)
răspuns ID_PROT analizat 0 [ KE Nu CERTREQ CERTREQ NAT-D NAT-D ]
a primit o cerere de certificare pentru „C=AT, O=.., CN=..'
**ignorarea cererii de certificat fără date**
trimiterea cererii de certificare pentru "C=AT, O=.., CN=.."
autentificarea lui „C=AT, O=.., CN=..” (eu însumi) reușită
care trimite certificatul de entitate finală "C=AT, O=.., CN=.."
se generează cererea ID_PROT 0 [ ID CERT SIG CERTREQ N(INITIAL_CONTACT) ]
expediere pachet: de la ..[500] la ..[500] (1548 octeți)
trimiterea retransmiterii 1 a ID-ului mesajului de cerere 0, secv. 3

Apoi continuă să retransmită.

Pe modem primesc aceste mesaje de eroare:

2021-07-06 14:42:24 ipsec Răspunsul a primit MM[3] și a trimis MM[4]
2021-07-06 14:42:24 ipsec peer @..: Modul principal i3r3, verificarea eșuată a certificatului de egalitate
2021-07-06 14:42:24 ipsec peer @..: Modul principal i3r3, mesajul peer-ului conține un antet neașteptat

ipsec.conf-ul meu este după cum urmează:

configurare

conn %implicit
        ikelifetime=24h
        keylife=23h
        rekeymargin=10m
        ike=3des-sha-modp1536
        keyexchange=ikev1
        authby=rsasig
        stânga=%oricare
        leftid=$serverip
        leftcert=/etc/ipsec.d/certs/server-cert.pem
        leftsendcert=intotdeauna
        leftsubnet=172.29.0.0/24
        firewall stânga=da
        dpdaction=clear
        dpddelay=300s
        rightsendcert=intotdeauna
        auto=adăugați

conn modem15
        dreapta=$dyndnsip
        rightsubnet=$rightsn
        rightid="C=AT, O=.., CN=modem15"

Am încercat tot felul de opțiuni ipsec.conf.

Convingerea mea actuală este că ipsec de pe server ar trebui să trimită certificatul atunci când modemul trimite o cerere de certificat goală. Totuși, nu am găsit opțiuni sau modalități de a face asta.

Mă poți ajuta aici? Chiar mă lovesc cu capul de perete cu asta.

100
0 + 1
drapel cn
ecdsa
Cererea de certificat goală nu este cu adevărat o problemă (așa cum spune mesajele de jurnal, este pur și simplu ignorată). După cum puteți vedea, certificatul este trimis de fapt în a treia cerere MM (încărcare utilă `CERT`). Dar, aparent, modemului nu-i place certificatul serverului, așa că nu răspunde (nici o idee despre ce înseamnă mesajul de jurnal referitor la un antet neașteptat). Poate că ceva lipsește acolo (cum ar fi o ancora de încredere) sau certificatele dvs. nu sunt corecte până la urmă.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.