înregistrare Logare
Puncte:0
avatar Server

Cum să utilizați modul agresiv + modul de transport + PSK pentru a negocia SA cu serverul strongswan în mediul NAT-T

drapel cn
freshman.ipsec

Am folosit modul de transport și mediul NAT-T pentru a negocia SA, iar metoda de autentificare a peer-ului este PSK.

Când folosesc Modul principal, negocierea IKE poate fi finalizată în mod normal, jurnalele PSK sunt:

6 ian 01:24:06 09[CFG] <1> caută configurații peer pre-partajate care se potrivesc cu 192.168.163.130...10.1.1.10[10.1.1.10]
6 ian 01:24:06 09[CFG] <1> candidat „trap-a”, meci: 1/20/3100 (me/other/ike)
6 ianuarie 01:24:06 09[CFG] <1> selectată configurație peer „trap-a”

Dar când folosesc Modul agresiv, strongswan solicită erori la procesarea primului mesaj primit:

6 ianuarie 01:45:38 05[CFG] <1> caută configurații peer pre-partajate care corespund 192.168.163.130...10.1.1.10[10.1.1.10]
6 ianuarie 01:45:38 05[IKE] <1> nu a fost găsită nicio configurație peer

Am verificat jurnalul de inițializare, nu pare nicio problemă, deoarece ID-urile sunt încărcate ca:

6 ianuarie 01:23:45 00[CFG] se încarcă secretele din „/etc/strongswan/ipsec.secrets”
6 ianuarie 01:23:45 00[CFG] a încărcat secretul IKE pentru %any
6 ianuarie 01:23:45 00[CFG] a încărcat secretul IKE pentru %any
6 ianuarie 01:23:45 00[CFG] a încărcat secretul IKE pentru 10.1.1.10

Configurația mea este ca lovitura:

ipsec.conf

conn %implicit
    ikelifetime=6m
    durata cheii=5m
    rekeymargin=3m
    keyingtries=1
    keyexchange=ikev1
    ike=aes256-sha256-modp1024
    esp=aes256-sha256-modp1024
    authby=psk
    tip=transport
    auto=rută
    fragmentare=nu
    rekey=nu
    forcecaps=da

conn trap-a
    agresiv=da # se va seta la agresiv=nu când utilizați modul principal
    stânga=192.168.163.130
    leftsubnet=192.168.163.0/24
    dreapta=10.1.1.10
    rightsubnet=10.1.1.0/24
    auto=adăugați

ipsec.secrete

: PSK „123456”
%oricare: PSK „123456”
10.1.1.10 : PSK „123456”

strongswan.conf

charon {
        load_modular = da
        i_dont_care_about_security_and_use_aggressive_mode_psk = yes
        pluginuri {
                includ strongswan.d/charon/*.conf
        }
        install_routes = nr

        jurnal de fișiere {
                charon {
                        cale = /etc/strongswan/logs/strongswan.log
                        format_timp = %b %e %T
                        ike_name = da
                        anexa = nu
                        implicit = 2
                        flush_line = da
                }
                stderr {
                        ike = 4
                        knl = 4
                }
        }
}

include strongswan.d/*.conf

Este ceva greșit cu configurațiile mele?

Și diagrama topologiei rețelei este ca:

Inițiator de rețea publică --- NAT rețea publică --- Respondență intranet
10.1.1.10-----------------10.1.1.11--192.168.163.1------192.168.163.130

Multumesc pentru ajutor!

51
0 + 0
drapel cn
freshman.ipsec
Am setat `aggressive=yes` în trap-a din fișierul de configurare, dar fișierul jurnal nu solicită `aggressive=yes` când se încarcă trap-a. Este normal?
0
Răspunde
drapel cn
freshman.ipsec
În modul agresiv, dacă setez tipul de încărcare utilă ID la IPv4, negocierea IKE poate fi finalizată normal. Dar dacă setez tipul de încărcare utilă ID la KEY_ID, negocierea eșuează, de ce?
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.