นโยบายการทำสำเนา ipsec: อนุญาตและบล็อก

ฉันกำลังพยายามตั้งค่าการเชื่อมต่อ IPsec ระหว่างเครื่องเสมือนสองเครื่องโดยใช้ Strongswan การกำหนดค่าในเครื่องแรกของฉันมีดังต่อไปนี้ (ipsec.conf):

คอน %default
    ikelifetime=60ม
    คีย์ไลฟ์=20ม
    รีคีย์มาร์จิ้น=3ม
    การป้อนคีย์ = 1
    mobike=ไม่
    การแลกเปลี่ยนคีย์=ikev2
    authby=pubkey
    esp=null-sha1!
เชื่อมต่อโฮสต์ต่อโฮสต์
    ซ้าย=192.168.56.102
    leftcert=/etc/ipsec.d/certs/servercert.pem
    leftid="C=..., ST=..., O=..., OU=SSTT, CN=www.sstt.org"
    ขวา=192.168.56.101
    rightid="C=..., ST=..., O=..., OU=SSTT, CN=ชื่อ"
    พิมพ์=อุโมงค์
    อัตโนมัติ = เริ่มต้น

ไฟล์ ipsec.secrets มีเส้นทางที่ถูกต้องไปยังคีย์ส่วนตัว การกำหนดค่าในเครื่องที่สองของฉันตรงกับที่ระบุไว้ที่นี่

ปัญหาของฉันคือ: เมื่อ SA ได้รับการจัดตั้งด้วยเหตุผลบางอย่างในเครื่องแรกของฉัน (เซิร์ฟเวอร์) รายการนโยบายจะมีลักษณะดังนี้:

src 192.168.56.101/32 dst 192.168.56.102/32 
    dir fwd ลำดับความสำคัญ 2819 
    tmpl src 192.168.56.101 dst 192.168.56.102
        อุโมงค์โหมด proto esp reqid 1
src 192.168.56.101/32 dst 192.168.56.102/32 
    ผบ.ลำดับความสำคัญ 2819 
    tmpl src 192.168.56.101 dst 192.168.56.102
        อุโมงค์โหมด proto esp reqid 1
src 192.168.56.102/32 dst 192.168.56.101/32 
    ลำดับความสำคัญ 2819 
    tmpl src 192.168.56.102 dst 192.168.56.101
        อุโมงค์โหมด proto esp reqid 1
src 192.168.56.101/32 dst 192.168.56.102/32 
    dir fwd action block ลำดับความสำคัญ 12035 
src 192.168.56.101/32 dst 192.168.56.102/32 
    ผู้อำนวยการในการดำเนินการบล็อกลำดับความสำคัญ 12035 
src 192.168.56.102/32 dst 192.168.56.101/32 
    ลำดับความสำคัญของบล็อกการกระทำ 12035

รายการนโยบายของเครื่องไคลเอนต์ไม่มีนโยบายใดๆ ที่มีการปิดกั้น มีเพียงนโยบายที่ถูกต้องเท่านั้น

ฉันจับทราฟฟิกด้วย wireshark และพบว่าเมื่อเซิร์ฟเวอร์ของฉันส่ง Ping ไปยังเครื่องที่สอง แพ็กเก็ต ICMP จะถูกส่งสองครั้ง ครั้งหนึ่งมีส่วนหัวของ ESP และอีกครั้งไม่มี เครื่องที่สองตอบกลับเฉพาะเครื่องที่ไม่มี

ฉันได้ลองลบนโยบายด้วยการดำเนินการบล็อก แต่เห็นได้ชัดว่าไม่ได้ผล

บันทึกผลลัพธ์หลังจากเริ่มบริการใหม่ทางฝั่งเซิร์ฟเวอร์:

11 มิ.ย. 15:29:28 เซิร์ฟเวอร์ ubuntu charon: ได้รับสัญญาณ 00[DMN] ประเภท SIGINT ปิด
11 มิ.ย. 15:29:28 อูบุนตูเซิร์ฟเวอร์ charon: 00[IKE] กำลังลบ IKE_SA host-to-host[2] ระหว่าง 192.168.56.102[C=..., ST=..., O=..., OU =SSTT, CN=www.sstt.org]...192.168.56.101[C=..., ST=..., O=..., OU=SSTT, CN=name]
11 มิ.ย. 15:29:28 อูบุนตูเซิร์ฟเวอร์ charon: 00[IKE] ส่ง DELETE สำหรับ IKE_SA host-to-host[2]
11 มิ.ย. 15:29:28 เซิร์ฟเวอร์อูบุนตู charon: 00[ENC] กำลังสร้างคำขอข้อมูล 0 [ D ]
11 มิ.ย. 15:29:28 เซิร์ฟเวอร์อูบุนตู charon: 00[NET] กำลังส่งแพ็กเก็ต: จาก 192.168.56.102[500] ถึง 192.168.56.101[500] (76 ไบต์)
11 มิ.ย. 15:29:30 เซิร์ฟเวอร์ ubuntu charon: 00[DMN] การเริ่มต้น IKE charon daemon (strongSwan 5.3.5, Linux 4.4.0-186-generic, x86_64)
11 มิ.ย. 15:29:30 เซิร์ฟเวอร์ ubuntu charon: 00 [CFG] กำลังโหลดใบรับรอง ca จาก '/etc/ipsec.d/cacerts'
11 มิ.ย. 15:29:30 อูบุนตูเซิร์ฟเวอร์ charon: 00 [CFG] โหลดใบรับรอง ca "C=..., ST=..., O=..., OU=SSTT, CN=ca.sstt.org" จาก '/etc/ipsec.d/cacerts/cacert.pem'
11 มิ.ย. 15:29:30 เซิร์ฟเวอร์ ubuntu charon: 00 [CFG] กำลังโหลดใบรับรอง aa จาก '/etc/ipsec.d/aacerts'
11 มิ.ย. 15:29:30 อูบุนตูเซิร์ฟเวอร์ charon: 00 [CFG] กำลังโหลดใบรับรองผู้ลงนาม ocsp จาก '/etc/ipsec.d/ocspcerts'
11 มิ.ย. 15:29:30 อูบุนตูเซิร์ฟเวอร์ charon: 00 [CFG] กำลังโหลดใบรับรองแอตทริบิวต์จาก '/etc/ipsec.d/acerts'
11 มิ.ย. 15:29:30 เซิร์ฟเวอร์อูบุนตู charon: 00 [CFG] กำลังโหลด crls จาก '/etc/ipsec.d/crls'
11 มิ.ย. 15:29:30 เซิร์ฟเวอร์ ubuntu charon: 00 [CFG] กำลังโหลดข้อมูลลับจาก '/etc/ipsec.secrets'
11 มิ.ย. 15:29:30 เซิร์ฟเวอร์อูบุนตู charon: 00 [CFG] โหลดคีย์ส่วนตัว RSA จาก '/etc/ipsec.d/private/serverkey.pem'
11 มิ.ย. 15:29:30 เซิร์ฟเวอร์อูบุนตู charon: 00 [LIB] โหลดปลั๊กอิน: charon ทดสอบเวกเตอร์ aes rc2 sha1 sha2 md4 md5 สุ่ม nonce x509 ข้อ จำกัด การเพิกถอน pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem opensl fips-prf ตัวแทน gmp xcbc hmac gcm attr kernel-netlink แก้ไขการอัปดาวน์ connmark stroke เริ่มต้นของซ็อกเก็ต
11 มิ.ย. 15:29:30 อูบุนตูเซิร์ฟเวอร์ charon: 00 [LIB] ลดความสามารถ, ทำงานเป็น uid 0, gid 0
11 มิ.ย. 15:29:30 เซิร์ฟเวอร์อูบุนตู charon: 00[JOB] วางไข่เธรดผู้ปฏิบัติงาน 16 คน
11 มิ.ย. 15:29:30 น. อูบุนตูเซิร์ฟเวอร์ charon: 11 [CFG] ได้รับจังหวะ: เพิ่มการเชื่อมต่อ 'host-to-host'
11 มิ.ย. 15:29:30 อูบุนตูเซิร์ฟเวอร์ charon: 11[CFG] โหลดใบรับรอง "C=..., ST=..., O=..., OU=SSTT, CN=www.sstt.org" จาก '/etc/ipsec.d/certs/servercert.pem'
11 มิ.ย. 15:29:30 อูบุนตูเซิร์ฟเวอร์ charon: 11 [CFG] เพิ่มการกำหนดค่า 'host-to-host'
11 มิ.ย. 15:29:30 เซิร์ฟเวอร์อูบุนตู charon: 13 [CFG] ได้รับจังหวะ: เริ่มต้น 'โฮสต์ต่อโฮสต์'
11 มิ.ย. 15:29:30 อูบุนตูเซิร์ฟเวอร์ charon: 13[IKE] เริ่มต้น IKE_SA host-to-host[1] ถึง 192.168.56.101
11 มิ.ย. 15:29:30 เซิร์ฟเวอร์อูบุนตู charon: 13[ENC] สร้างคำขอ IKE_SA_INIT 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(HASH_ALG) ]
11 มิ.ย. 15:29:30 อูบุนตูเซิร์ฟเวอร์ charon: 13[NET] กำลังส่งแพ็กเก็ต: จาก 192.168.56.102[500] ถึง 192.168.56.101[500] (1124 ไบต์)
11 มิ.ย. 15:29:30 เซิร์ฟเวอร์อูบุนตู charon: 15[NET] ได้รับแพ็กเก็ต: จาก 192.168.56.101[500] ถึง 192.168.56.102[500] (481 ไบต์)
11 มิ.ย. 15:29:30 เซิร์ฟเวอร์อูบุนตู charon: 15[ENC] แยกวิเคราะห์ IKE_SA_INIT ตอบสนอง 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(HASH_ALG) N(MULT_AUTH) ]
11 มิ.ย. 15:29:30 อูบุนตูเซิร์ฟเวอร์ charon: 15[IKE] ได้รับคำขอใบรับรองสำหรับ "C=..., ST=..., O=..., OU=SSTT, CN=ca.sstt.org "
11 มิ.ย. 15:29:30 อูบุนตูเซิร์ฟเวอร์ charon: 15[IKE] กำลังส่งคำขอใบรับรองสำหรับ "C=..., ST=..., O=..., OU=SSTT, CN=ca.sstt.org "
11 มิ.ย. 15:29:30 อูบุนตูเซิร์ฟเวอร์ charon: 15[IKE] การรับรองความถูกต้องของ 'C=..., ST=..., O=..., OU=SSTT, CN=www.sstt.org' ( ตัวเอง) ด้วย RSA_EMSA_PKCS1_SHA256 สำเร็จ
11 มิ.ย. 15:29:30 อูบุนตูเซิร์ฟเวอร์ charon: 15[IKE] ส่งใบรับรองเอนทิตีปลายทาง "C=..., ST=..., O=..., OU=SSTT, CN=www.sstt.org "
11 มิ.ย. 15:29:30 อูบุนตูเซิร์ฟเวอร์ charon: 15 [IKE] กำลังสร้าง CHILD_SA โฮสต์ต่อโฮสต์
11 มิ.ย. 15:29:30 น. เซิร์ฟเวอร์อูบุนตู: 15[ENC] สร้างคำขอ IKE_AUTH 1 [ IDi CERT N(INIT_CONTACT) CERTREQ IDr AUTH SA TSi TSr N(MULT_AUTH) N(EAP_ONLY) ]
11 มิ.ย. 15:29:30 อูบุนตูเซิร์ฟเวอร์ charon: 15[NET] ส่งแพ็กเก็ต: จาก 192.168.56.102[500] ถึง 192.168.56.101[500] (1628 ไบต์)
11 มิถุนายน 15:29:30 เซิร์ฟเวอร์อูบุนตู charon: 16[NET] ได้รับแพ็กเก็ต: จาก 192.168.56.101[500] ถึง 192.168.56.102[500] (1500 ไบต์)
11 มิ.ย. 15:29:30 เซิร์ฟเวอร์อูบุนตู charon: 16[ENC] แยกวิเคราะห์การตอบสนอง IKE_AUTH 1 [ IDr CERT AUTH SA TSi TSr N(AUTH_LFT) ]
11 มิ.ย. 15:29:30 อูบุนตูเซิร์ฟเวอร์ charon: 16[IKE] ได้รับใบรับรองเอนทิตีสุดท้าย "C=..., ST=..., O=..., OU=SSTT, CN=ชื่อ"
11 มิ.ย. 15:29:30 อูบุนตูเซิร์ฟเวอร์ charon: 16[CFG] โดยใช้ใบรับรอง "C=..., ST=..., O=..., OU=SSTT, CN=ชื่อ"
11 มิ.ย. 15:29:30 อูบุนตูเซิร์ฟเวอร์ charon: 16[CFG] โดยใช้ใบรับรอง ca ที่เชื่อถือได้ "C=..., ST=..., O=..., OU=SSTT, CN=ca.sstt.org "
11 มิ.ย. 15:29:30 อูบุนตูเซิร์ฟเวอร์ charon: 16[CFG] กำลังตรวจสอบสถานะใบรับรองของ "C=..., ST=..., O=..., OU=SSTT, CN=ชื่อ"
11 มิ.ย. 15:29:30 อูบุนตูเซิร์ฟเวอร์ charon: สถานะใบรับรอง 16 [CFG] ไม่พร้อมใช้งาน
11 มิ.ย. 15:29:30 อูบุนตูเซิร์ฟเวอร์ charon: 16[CFG] ถึงรูทที่ลงนามด้วยตนเองโดยมีความยาวพา ธ 0
11 มิ.ย. 15:29:30 อูบุนตูเซิร์ฟเวอร์ charon: 16 [IKE] การรับรองความถูกต้องของ 'C=..., ST=..., O=..., OU=SSTT, CN=ชื่อ' ด้วย RSA_EMSA_PKCS1_SHA256 สำเร็จ
11 มิ.ย. 15:29:30 อูบุนตูเซิร์ฟเวอร์ charon: 16[IKE] IKE_SA host-to-host[1] สร้างขึ้นระหว่าง 192.168.56.102[C=..., ST=..., O=..., OU =SSTT, CN=www.sstt.org]...192.168.56.101[C=..., ST=..., O=..., OU=SSTT, CN=name]
11 มิ.ย. 15:29:30 อูบุนตูเซิร์ฟเวอร์ charon: 16 [IKE] กำหนดเวลาการรับรองความถูกต้องซ้ำในปี 3250
11 มิ.ย. 15:29:30 เซิร์ฟเวอร์ ubuntu charon: 16[IKE] สูงสุด IKE_SA อายุการใช้งาน 3430 วินาที
11 มิ.ย. 15:29:30 น. ubuntu-server charon: มีนโยบาย 16 [KNL] อยู่แล้ว ลองอัปเดต
11 มิ.ย. 15:29:30 น. เซิร์ฟเวอร์ ubuntu charon: ข้อความซ้ำ 2 ครั้ง: [ มีนโยบาย 16 [KNL] อยู่แล้ว ลองอัปเดต]
11 มิ.ย. 15:29:30 เซิร์ฟเวอร์อูบุนตู: 16[IKE] CHILD_SA host-to-host{1} สร้างด้วย SPI c056e14a_i c62093a4_o และ TS 192.168.56.102/32 === 192.168.56.101/32
11 มิ.ย. 15:29:30 น. เซิร์ฟเวอร์ ubuntu charon: 16[IKE] ได้รับ AUTH_LIFETIME จาก 3364 วินาที กำหนดเวลาการตรวจสอบสิทธิ์ซ้ำใน 3184 วินาที

ใครสามารถอธิบายสิ่งที่เกิดขึ้น? ขอบคุณล่วงหน้า