บรรจวบ เข้าสู่ระบบ
Score:0
avatar Server

วิธีใช้โหมดก้าวร้าว + โหมดการขนส่ง + PSK เพื่อเจรจา SAs กับเซิร์ฟเวอร์ strongswan ในสภาพแวดล้อม NAT-T

ธง cn
freshman.ipsec

ฉันใช้โหมดการขนส่งและสภาพแวดล้อม NAT-T เพื่อต่อรองกับ SA และวิธีการตรวจสอบความถูกต้องของเพียร์คือ PSK

เมื่อฉันใช้ โหมดหลักการเจรจา IKE สามารถเสร็จสิ้นได้ โดยทั่วไปบันทึกของ PSK คือ:

6 ม.ค. 01:24:06 09[CFG] <1> กำลังมองหาการกำหนดค่าเพียร์คีย์ที่แชร์ล่วงหน้าซึ่งตรงกับ 192.168.163.130...10.1.1.10[10.1.1.10]
6 ม.ค. 01:24:06 09[CFG] <1> ผู้สมัคร "trap-a", ตรงกับ: 1/20/3100 (ฉัน/อื่นๆ/ike)
6 ม.ค. 01:24:06 09[CFG] <1> เลือกการกำหนดค่าเพียร์ "trap-a"

แต่เมื่อฉันใช้ โหมดก้าวร้าวหงส์แจ้ง ข้อผิดพลาด เมื่อประมวลผลข้อความที่ได้รับครั้งแรก:

6 ม.ค. 01:45:38 05[CFG] <1> กำลังมองหาการกำหนดค่าเพียร์คีย์ที่แชร์ล่วงหน้าซึ่งตรงกับ 192.168.163.130...10.1.1.10[10.1.1.10]
6 ม.ค. 01:45:38 05[IKE] <1> ไม่พบการกำหนดค่าเพียร์

ฉันตรวจสอบบันทึกการเริ่มต้นแล้ว ไม่มีปัญหา เพราะโหลด ID เป็น:

6 ม.ค. 01:23:45 00[CFG] กำลังโหลดความลับจาก '/etc/strongswan/ipsec.secrets'
6 มกราคม 01:23:45 00[CFG] โหลด IKE secret สำหรับ %any
6 มกราคม 01:23:45 00[CFG] โหลด IKE secret สำหรับ %any
6 ม.ค. 01:23:45 00[CFG] โหลด IKE secret สำหรับ 10.1.1.10

การกำหนดค่าของฉันเป็นแบบระเบิด:

ipsec.conf

คอน %default
    ikelifetime=6ม
    คีย์ไลฟ์=5ม
    รีคีย์มาร์จิ้น=3ม
    การป้อนคีย์ = 1
    การแลกเปลี่ยนคีย์=ikev1
    ike=aes256-sha256-modp1024
    esp=aes256-sha256-modp1024
    authby=ปสก
    พิมพ์=ขนส่ง
    อัตโนมัติ=เส้นทาง
    การกระจายตัว = ไม่
    คีย์ใหม่ = ไม่
    ฟอร์ซเอนแคป=ใช่

conn กับดัก-a
    ก้าวร้าว=ใช่ # มันจะตั้งค่าเป็น ก้าวร้าว=ไม่ เมื่อใช้โหมดหลัก
    ซ้าย=192.168.163.130
    leftsubnet=192.168.163.0/24
    ขวา=10.1.1.10
    rightsubnet=10.1.1.0/24
    อัตโนมัติ = เพิ่ม

ipsec.secrets

: ปสก "123456"
%any : PSK "123456"
10.1.1.10 : PSK "123456"

strongswan.conf

ชารอน {
        load_modular = ใช่
        i_dont_care_about_security_and_use_aggressive_mode_psk = ใช่
        ปลั๊กอิน {
                รวมถึงstrongswan.d/charon/*.conf
        }
        install_routes = ไม่

        บันทึกไฟล์ {
                ชารอน {
                        เส้นทาง = /etc/strongswan/logs/strongswan.log
                        time_format = %b %e %T
                        ike_name = ใช่
                        ต่อท้าย = ไม่
                        ค่าเริ่มต้น = 2
                        flush_line = ใช่
                }
                สแตร์เดอร์ {
                        อิเกะ = 4
                        knl = 4
                }
        }
}

รวมถึง strongswan.d/*.conf

มีข้อผิดพลาดใด ๆ กับการกำหนดค่าของฉันหรือไม่?

และไดอะแกรมโทโพโลยีเครือข่ายมีลักษณะดังนี้:

ตัวเริ่มต้นเครือข่ายสาธารณะ --- NAT เครือข่ายสาธารณะ --- ตัวตอบกลับอินทราเน็ต
10.1.1.10------------------10.1.1.11--192.168.163.1------ 192.168.163.130

ขอบคุณที่ช่วยเหลือ!

51
0 + 0
cn flag
freshman.ipsec
ฉันตั้งค่า "ก้าวร้าว=ใช่" ในกับดัก-a ของไฟล์การกำหนดค่า แต่ไฟล์บันทึกไม่แสดงข้อความ "ก้าวร้าว=ใช่" เมื่อโหลดกับดัก-a นี่เป็นเรื่องปกติหรือไม่?
0
ตอบกลับ
cn flag
freshman.ipsec
ในโหมดเชิงรุก หากฉันตั้งค่าประเภท ID payload เป็น IPv4 การเจรจา IKE จะเสร็จสมบูรณ์ได้ตามปกติ แต่ถ้าฉันตั้งค่าประเภท ID payload เป็น KEY_ID การเจรจาล้มเหลว เพราะเหตุใด
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา