บรรจวบ เข้าสู่ระบบ
Score:0
avatar Server

การตรวจสอบใบรับรอง Strongswan VPN ล้มเหลว

ธง sz
user18848352

ฉันได้ติดตั้ง VPN ของ Strongswan บนเซิร์ฟเวอร์ Ubuntu ของฉันแล้ว ตั้งค่าการรับรองความถูกต้องของใบรับรอง ฉันตั้งค่าโทรศัพท์ Android แล้วและใช้งานได้ดี แต่การเชื่อมต่อไม่ได้สร้างบนเครื่อง windows ฉันคัดลอก ca-cert ลงในรูท ca และใบรับรองไคลเอนต์ไปยังร้านค้าส่วนตัว แต่ฉันได้รับข้อผิดพลาด 13806 (ใบรับรองไม่ถูกต้อง) ผมทำอะไรผิดหรือเปล่า?

/etc/ipsec.conf

การตั้งค่าคอนฟิก
        # เข้มงวดcrlpolicy=ใช่
        รหัสเฉพาะ = ไม่
        charondebug="ไอค์ 4"

รวม /var/lib/strongswan/ipsec.conf.inc

คอน %default
        dpdaction=ชัดเจน
        dpddelay=35 วินาที
        dpdtimeout=300 วินาที

        การกระจายตัว = ใช่
        คีย์ใหม่ = ไม่

        ike=aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024

        esp=aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024
        # ซ้าย - ด้านโลคัล (เซิร์ฟเวอร์)
        ซ้าย = % ใด ๆ
        leftauth=pubkey
        leftcert=server.crt
        leftsendcert=เสมอ
        leftsubnet=0.0.0.0/0,::/0

        # ขวา - ฝั่งรีโมต (ไคลเอ็นต์)
        ขวา=%ใดๆ
        rightauth=pubkey
        rightsourceip=192.168.103.0/24,2002:25f7:7489:3::/112
        rightdns=8.8.8.8,2001:4860:4860::8888

conn ikev2-pubkey
        การแลกเปลี่ยนคีย์=ikev2
        อัตโนมัติ = เพิ่ม

conn ikev2-pubkey-osx
        ยัง = "ikev2-pubkey"
        leftid=ip_address_server

/etc/ipsec.secrets

: เซิร์ฟเวอร์ RSA.key

ใบรับรองเซิร์ฟเวอร์

 เรื่อง: "CN=domain_name"
  ผู้ออก: "CN=IPsec CA"
  ความถูกต้อง: ไม่ก่อนวันที่ 18 เมษายน 10:07:00 น. 2022 ตกลง
             ไม่หลังจากวันที่ 02 เมษายน 10:07:00 น. 2025 ตกลง (หมดอายุใน 1,079 วัน)
  อนุกรม: a9:e3:a4:
  altชื่อ: ip_address_server
  แฟล็ก: serverAuth
  authkeyId: 13:f8:f0:
  subjkeyId: 5a:a8:11:
  pubkey: RSA 2048 บิต มีคีย์ส่วนตัว

ใบรับรองลูกค้า

เรื่อง: "CN = ลูกค้า"
  ผู้ออก: "CN=IPsec CA"
  ความถูกต้อง: ไม่ก่อนวันที่ 18 เมษายน 10:07:19 น. 2022 ตกลง
             ไม่หลังจากวันที่ 02 เมษายน 10:07:19 น. 2025 ตกลง (หมดอายุใน 1,079 วัน)
  อนุกรม: 4c:e2:46:09:81:87:14:60:96:79:cf:bb:d6:62:13:68
  altNames: ลูกค้า
  แฟล็ก: clientAuth

และนั่นคือบันทึก

09[IKE] กำลังส่งคำขอใบรับรองสำหรับ "CN=IPsec CA"
09[ENC] กำลังสร้างการตอบสนอง IKE_SA_INIT 0 [ SA KE ไม่ใช่ N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(CHDLESS_SUP) N(MULT_AUTH) ]
09[NET] ส่งแพ็คเก็ต: จาก server_ip[500] ถึง client_ip[500] (353 ไบต์)
07[NET] ได้รับแพ็กเก็ต: จาก client_ip[500] ถึง server_ip[500] (40 ไบต์)
07[ENC] ประเภทเพย์โหลด NOTIFY ไม่ได้รับการเข้ารหัส
07[ENC] ไม่สามารถถอดรหัสเพย์โหลดได้
07[IKE] การตรวจสอบความสมบูรณ์ล้มเหลว
07[IKE] คำขอข้อมูลพร้อมรหัสข้อความ 0 การประมวลผลล้มเหลว
59
0 + 0
cn flag
ecdsa
ตรวจสอบบันทึกของปลายอีกด้านหนึ่ง คุณอาจพบเหตุผลว่าทำไมจึงส่งเพย์โหลดการแจ้งเตือนที่ไม่ได้เข้ารหัสไปที่นั่น
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา