Întâmpin probleme când încerc să configurez StrongSwan Client pe Ubuntu.
Iată pașii pe care îi urmez:
Export certificat de utilizator:
openssl pkcs12 -in [email protected] -out username-cert.pem -clcerts -nokeys
Exportați cheia privată a utilizatorului:
openssl pkcs12 -in [email protected] -out username-key.pem -nocerts -nodes
Redenumiți certificatul CA:
mv cert_export_CA.crt cacert.pem
Copiați certificatele și fișierele cheie în directoarele corespunzătoare:
cp nume de utilizator-cert.pem /etc/ipsec.d/certs
cp nume de utilizator-key.pem /etc/ipsec.d/private
cp cacert.pem /etc/ipsec.d/cacerts
Editați fișierul /etc/ipsec.conf:
conn %implicit
ikelifetime=60m
durata cheii=20m
rekeymargin=3m
keyingtries=1
keyexchange=ikev2
conn „DOMAIN”
leftsourceip=%config
leftcert=nume utilizator-cert.pem
leftid=nume [email protected]
firewall stânga=da
dreapta=vpn.domain.com
rightid=cvpn.domain.com
rightsubnet=0.0.0.0/0
auto=pornire
Editați /etc/ipsec.secrets:
: RSA nume de utilizator-key.pem „frază de acces”
Reporniți demonul ipsec:
sudo ipsec restart
Verificați dacă conexiunea a fost stabilită:
starea sudo ipsec
se intoarce: Asociații de securitate (0 în sus, 0 conexiuni):
nici unul
ip a
se intoarce:
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue stare UNKNOWN grup implicit qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft pentru totdeauna preferred_lft pentru totdeauna
inet6 ::1/128 scope host
valid_lft pentru totdeauna preferred_lft pentru totdeauna
2: enp2s0: <NO-CARRIER, BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel state DOWN grup implicit qlen 1000
link/ether 8c:8c:aa:49:56:b0 brd ff:ff:ff:ff:ff:ff
3: wlp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue stare UP grup implicit qlen 1000
link/ether b0:a4:60:d9:2c:a4 brd ff:ff:ff:ff:ff:ff
inet <ip>/24 brd <ip> domeniul de aplicare global dinamic noprefixroute wlp3s0
valid_lft 168sec preferred_lft 168sec
inet6 <ip>/64 scope link noprefixroute
valid_lft pentru totdeauna preferred_lft pentru totdeauna
Ceea ce înseamnă că nu mă pot conecta.
Când rulez ipsec sus DOMAIN, primesc această ieșire:
se inițiază IKE_SA DOMAIN[2] la xxx.xxx.xxx.xxx
generează cererea IKE_SA_INIT 0 [ SA KE Nu N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
pachet de trimitere: de la xxx.xxx.xxx.xxx[500] la xxx.xxx.xxx.xxx[500] (936 de octeți)
pachet primit: de la xxx.xxx.xxx.xxx[500] la xxx.xxx.xxx.xxx[500] (38 de octeți)
răspunsul IKE_SA_INIT analizat 0 [ N(INVAL_KE) ]
peer nu a acceptat grupul DH ECP_256, a solicitat MODP_2048
se inițiază IKE_SA DOMAIN[2] la xxx.xxx.xxx.xxx
generează cererea IKE_SA_INIT 0 [ SA KE Nu N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
pachet de trimitere: de la xxx.xxx.xxx.xxx[500] la xxx.xxx.xxx.xxx[500] (1128 de octeți)
pachet primit: de la 1xxx.xxx.xxx.xxx[500] la xxx.xxx.xxx.xxx[500] (437 de octeți)
răspuns IKE_SA_INIT analizat 0 [ SA KE Nu N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) CERTREQ ]
propunere selectată: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
trimiterea cererii de certificare pentru „O=domain.com, CN=vpn.domain.com”
autentificarea „nume [email protected]” (eu însumi) cu semnătura RSA reușită
trimitere certificat de entitate finală „O=domain.com, CN=Template-User”
stabilirea DOMENIULUI CHILD_SA{2}
generarea cererii IKE_AUTH 1 [ IDi CERT N(INIT_CONTACT) CERTREQ IDr AUTH CPRQ(ADDR DNS) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
împărțirea mesajului IKE (1536 octeți) în 2 fragmente
se generează cererea IKE_AUTH 1 [ EF(1/2) ]
se generează cererea IKE_AUTH 1 [ EF(2/2) ]
pachet de trimitere: de la xxx.xxx.xxx.xxx[4500] la xxx.xxx.xxx.xxx[4500] (1236 de octeți)
pachet de trimitere: de la xxx.xxx.xxx.xxx[4500] la xxx.xxx.xxx.xxx[4500] (372 de octeți)
pachet primit: de la xxx.xxx.xxx.xxx[4500] la xxx.xxx.xxx.xxx[4500] (1204 octeți)
analizat răspunsul IKE_AUTH 1 [ EF(1/2) ]
a primit fragmentul #1 din 2, în așteptarea mesajului IKE complet
pachet primit: de la xxx.xxx.xxx.xxx[4500] la xxx.xxx.xxx.xxx[4500] (564 de octeți)
analizat răspunsul IKE_AUTH 1 [ EF(2/2) ]
primit fragmentul #2 din 2, mesaj IKE fragmentat reasamblat (1408 octeți)
răspuns IKE_AUTH analizat 1 [ CERT IDr AUTH CPRP(ADDR MASK SUBNET) TSi TSr SA ]
a primit certificatul de entitate finală „O=domain.com, CN=vpn.domain.com”
folosind certificatul de încredere „O=domain.com, CN=vpn.domain.com”
validarea semnăturii a eșuat, căutând o altă cheie
folosind certificatul „O=domain.com, CN=vpn.domain.com”
folosind certificatul CA de încredere „O=domain.com, CN=vpn.domain.com”
verificarea stării certificatului „O=domain.com, CN=vpn.domain.com”
starea certificatului nu este disponibilă
a ajuns la rădăcina auto-semnată ca cu o lungime a căii de 0
autentificarea „vpn.domain.com” cu semnătura RSA reușită
verificarea constrângerii a eșuat: identitatea „cvpn.domain.com” este necesară
Configurația peer selectată „DOMAIN” inacceptabilă: verificarea constrângerii a eșuat
nu a fost găsită nicio configurație alternativă
se generează cererea INFORMAȚIONALĂ 2 [ N(AUTH_FAILED) ]
pachet de trimitere: de la xxx.xxx.xxx.xxx[4500] la xxx.xxx.xxx.xxx[4500] (80 de octeți)
stabilirea conexiunii „DOMAIN” nu a reușit