บรรจวบ เข้าสู่ระบบ
Score:0
curious_weather avatar Server

Strongswan IPsec ละเว้นคำขอใบรับรองที่ว่างเปล่า

ธง in
curious_weather

ฉันกำลังพยายามตั้งค่าการเชื่อมต่อ VPN ตามใบรับรองไปยังโมเด็ม (a Digi WAN Connect 3G) ในสนาม

ใช้เวอร์ชัน ipsec Linux strongSwan U5.8.2/K5.8.0-55-generic บน Ubuntu 20.04

ฉันค่อนข้างแน่ใจว่าฉันตั้งค่าใบรับรองอย่างถูกต้องด้วย pki หลังจากดำเนินการ ipsec อัพโมเด็ม15 บนเซิร์ฟเวอร์ ฉันได้รับข้อความเหล่านี้:

เริ่มต้นโหมดหลัก IKE_SA modem15[1] เป็น ..
กำลังสร้างคำขอ ID_PROT 0 [ SA V V V V V ]
ส่งแพ็คเก็ต: จาก ..[500] ถึง ..[500] (248 ไบต์)
ได้รับแพ็คเก็ต: จาก ..[500] ถึง ..[500] (144 ไบต์)
แยกวิเคราะห์การตอบสนอง ID_PROT 0 [ SA V V V ]
ได้รับ ID ผู้ขาย NAT-T (RFC 3947)
ได้รับรหัสผู้ขาย Draft-ietf-ipsec-nat-t-ike-00
ได้รับรหัสผู้ขาย Draft-ietf-ipsec-nat-t-ike-02\n
ข้อเสนอที่เลือก: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536
กำลังสร้างคำขอ ID_PROT 0 [ KE No NAT-D NAT-D ]
ส่งแพ็คเก็ต: จาก ..[500] ถึง ..[500] (308 ไบต์)
ได้รับแพ็คเก็ต: จาก ..[500] ถึง ..[500] (358 ไบต์)
แยกวิเคราะห์การตอบสนอง ID_PROT 0 [ KE ไม่มี CERTREQ CERTREQ NAT-D NAT-D ]
ได้รับคำขอใบรับรองสำหรับ 'C=AT, O=.., CN=..'
**เพิกเฉยต่อคำขอใบรับรองที่ไม่มีข้อมูล**
กำลังส่งคำขอใบรับรองสำหรับ "C=AT, O=.., CN=.."
การรับรองความถูกต้องของ 'C=AT, O=.., CN=..' (ตัวฉันเอง) สำเร็จ
ส่งใบรับรองเอนทิตีปลายทาง "C=AT, O=.., CN=.."
กำลังสร้างคำขอ ID_PROT 0 [ ID CERT SIG CERTREQ N(INITIAL_CONTACT) ]
ส่งแพ็คเก็ต: จาก ..[500] ถึง ..[500] (1548 ไบต์)
กำลังส่ง retransmit 1 ของ ID ข้อความคำขอ 0, seq 3

จากนั้นมันก็ส่งซ้ำไปเรื่อยๆ

บนโมเด็ม ฉันได้รับข้อความแสดงข้อผิดพลาดเหล่านี้:

2021-07-06 14:42:24 ผู้ตอบกลับ ipsec ได้รับ MM[3] และส่ง MM[4]
2021-07-06 14:42:24 ipsec peer @..: โหมดหลัก i3r3 การตรวจสอบใบรับรองเพียร์ล้มเหลว
2021-07-06 14:42:24 ipsec peer @..: โหมดหลัก i3r3 ข้อความของเพียร์มีส่วนหัวที่ไม่คาดคิด

ipsec.conf ของฉันเป็นดังนี้:

การตั้งค่าคอนฟิก

คอน %default
        ikelifetime=24ชม
        คีย์ไลฟ์=23ชม
        รีคีย์มาร์จิ้น=10ม
        ike=3des-sha-modp1536
        การแลกเปลี่ยนคีย์=ikev1
        authby=rsasig
        ซ้าย = % ใด ๆ
        leftid=$เซิร์ฟเวอร์
        leftcert=/etc/ipsec.d/certs/server-cert.pem
        leftsendcert=เสมอ
        leftsubnet=172.29.0.0/24
        ไฟร์วอลล์ซ้าย=ใช่
        dpdaction=ชัดเจน
        dpddelay=300 วินาที
        rightendcert=เสมอ
        อัตโนมัติ = เพิ่ม

คอนเนคโมเด็ม15
        right=$dyndnsip
        rightsubnet=$rightsn
        rightid="C=AT, O=.., CN=modem15"

ฉันลองใช้ตัวเลือก ipsec.conf ทุกประเภทแล้ว

ความเชื่อในปัจจุบันของฉันคือ ipsec บนเซิร์ฟเวอร์ควรส่งใบรับรองเมื่อโมเด็มส่งคำขอใบรับรองที่ว่างเปล่า ฉันไม่พบตัวเลือกหรือวิธีการทำเช่นนั้น

คุณช่วยฉันที่นี่ได้ไหม ฉันเอาหัวโขกกำแพงกับสิ่งนี้จริงๆ

100
0 + 1
cn flag
ecdsa
คำขอใบรับรองที่ว่างเปล่าไม่ใช่ปัญหาจริงๆ อย่างที่คุณเห็น ใบรับรองถูกส่งจริงในคำขอ MM ที่สาม (เพย์โหลด "CERT") แต่เห็นได้ชัดว่าโมเด็มไม่ชอบใบรับรองของเซิร์ฟเวอร์ ดังนั้นจึงไม่ตอบสนอง (ไม่ทราบว่าข้อความบันทึกเกี่ยวกับส่วนหัวที่ไม่คาดคิดหมายความว่าอย่างไร) อาจมีบางอย่างขาดหายไป (เช่น trust anchor) หรือใบรับรองของคุณไม่ถูกต้องในภายหลัง
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา