ความล้มเหลวในการเชื่อมต่อ Mikrotik กับ Strongswan โดยใช้ IPSec

หวังว่าคุณจะทำได้ดี.

ฉันพยายามเชื่อมต่อ Mikrotik RB2011RM กับ Strongswan ที่ทำงานบนเซิร์ฟเวอร์คลาวด์ ฉันไม่สามารถผ่านระยะที่ 1 ได้

ฉันค้นหาผ่าน google และพบตัวอย่างที่ยอดเยี่ยมและยังไม่สามารถระบุได้ว่าปัญหาคืออะไร ตอนนี้ฉันมีตัวอย่างจากการตั้งค่า Strongswan ที่ยังไม่โชคดี

หวังว่าจะมีคนช่วยฉันหาว่าฉันทำอะไรผิด

นี่คือรายละเอียด:

RB2011 อยู่บนเครือข่ายในบ้านของฉัน และ Strongswan อยู่บน VPS จากผู้ให้บริการบุคคลที่สาม ฉันได้ลงไปที่ PSK auth อย่างง่ายเพื่อพยายามทำให้มันใช้งานได้

StrongSwan ipsec.conf:

# ipsec.conf - ไฟล์กำหนดค่า strongSwan IPsec

#การกำหนดค่าพื้นฐาน

การตั้งค่าคอนฟิก
        charondebug="ทั้งหมด"

#เพิ่มการเชื่อมต่อที่นี่

คอน %default
        ikelifetime=60ม
        คีย์ไลฟ์=20ม
        รีคีย์มาร์จิ้น=3ม
        การป้อนคีย์ = 1
        authby = ความลับ
        การแลกเปลี่ยนคีย์=ikev2
        mobike=ไม่

หอส่งสัญญาณ-vpn
      ike=aes256-sha2_256-modp1024!
      esp=aes256-sha2_256!
      ซ้าย=107.161.22.19
      leftsubnet=107.161.22.19/32
      leftid=@vpnsvr.*******.org
      ขวา=206.83.248.2
      rightid=206.83.248.2
      rightsubnet=10.232.70.0/24
      อัตโนมัติ = เพิ่ม

ipsec.secrets

# ไฟล์นี้มีความลับที่ใช้ร่วมกันหรือคีย์ส่วนตัว RSA สำหรับการตรวจสอบสิทธิ์

# รหัสส่วนตัว RSA สำหรับโฮสต์นี้ รับรองความถูกต้องกับโฮสต์อื่น
#ซึ่งรู้ส่วนรวม.


: RSA vpn-server.key.pem # รหัสเซิร์ฟเวอร์ VPN ที่สร้างขึ้นด้านบน

# <รหัสผู้ใช้> : EAP <ความลับ>

10.232.70.1 : PSK "************"   
206.83.248.2 : PSK "**********"   

การกำหนดค่า Mikrotik:

ไมค์ ไมเออร์ <[email protected]>
16:55 น. (0 นาทีที่แล้ว)
ถึงฉัน

# พฤษภาคม 17/2022 16:54:00 โดย RouterOS 6.49.6
# รหัสซอฟต์แวร์ = YFGT-A2YC
#
# รุ่น = 2011UiAS
# หมายเลขซีเรียล = 6089057B8541
/ip โปรไฟล์ ipsec
เพิ่ม dh-group=modp1024 enc-algorithm=aes-256 hash-algorithm=sha256 name=\
    profile_1 nat-traversal=ใช่
/ip เพียร์ ipsec
เพิ่มที่อยู่=107.161.22.19/32 ชื่อ=โปรไฟล์ CloudVPN=profile_1
/ip ข้อเสนอ ipsec
ตั้งค่า [ ค้นหาค่าเริ่มต้น=ใช่ ] auth-algorithms=sha256 enc-algorithms=aes-256-cbc
/ip ข้อมูลประจำตัว ipsec
เพิ่ม my-id=address:206.83.248.2 peer=ความลับของ CloudVPN=**********
/ip นโยบาย ipsec
เพิ่ม dst-address=10.232.0.0/23 level=use peer=CloudVPN src-address=\
    10.232.70.0/24 อุโมงค์=ใช่

บันทึกสตรองสวอน:

 ได้รับแพ็คเก็ต: จาก 206.83.248.2[500] ถึง 107.161.22.19[500] (128 ไบต์)
17 พฤษภาคม 20:52:49 น. แฮมโซเชียล charon: 06[ENC] แยกวิเคราะห์คำขอ ID_PROT 0 [ SA V V ]
17 พฤษภาคม 20:52:49 hamsocial charon: 06[IKE] ไม่พบการกำหนดค่า IKE สำหรับ 107.161.22.19...206.83.248.2 ส่ง NO_PROPOSAL_CHOSEN
17 พฤษภาคม 20:52:49 น. แฮมโซเชียล charon: 06[ENC] กำลังสร้าง INFORMATIONAL_V1 คำขอ 1363442209 [ N(NO_PROP) ]
17 พฤษภาคม 20:52:49 hamsocial charon: 06[NET] ส่งแพ็กเก็ต: จาก 107.161.22.19[500] ถึง 206.83.248.2[500] (40 ไบต์)
17 พฤษภาคม 20:52:59 hamsocial charon: 14[NET] ได้รับแพ็กเก็ต: จาก 206.83.248.2[500] ถึง 107.161.22.19[500] (128 ไบต์)
17 พฤษภาคม 20:52:59 น. แฮมโซเชียล charon: 14[ENC] แยกวิเคราะห์คำขอ ID_PROT 0 [ SA V V ]
17 พฤษภาคม 20:52:59 น. hamsocial charon: 14[IKE] ไม่พบการกำหนดค่า IKE สำหรับ 107.161.22.19...206.83.248.2 ส่ง NO_PROPOSAL_CHOSEN
17 พฤษภาคม 20:52:59 น. แฮมโซเชียล charon: 14[ENC] กำลังสร้าง INFORMATIONAL_V1 คำขอ 1065270688 [ N(NO_PROP) ]
17 พฤษภาคม 20:52:59 hamsocial charon: 14[NET] ส่งแพ็กเก็ต: จาก 107.161.22.19[500] ถึง 206.83.248.2[500] (40 ไบต์)
17 พฤษภาคม 20:53:09 hamsocial charon: 07[NET] ได้รับแพ็กเก็ต: จาก 206.83.248.2[500] ถึง 107.161.22.19[500] (128 ไบต์)
17 พฤษภาคม 20:53:09 น. แฮมโซเชียล charon: 07[ENC] แยกวิเคราะห์คำขอ ID_PROT 0 [ SA V V ]
17 พฤษภาคม 20:53:09 hamsocial charon: 07[IKE] ไม่พบการกำหนดค่า IKE สำหรับ 107.161.22.19...206.83.248.2 ส่ง NO_PROPOSAL_CHOSEN
17 พฤษภาคม 20:53:09 น. แฮมโซเชียล charon: 07[ENC] กำลังสร้าง INFORMATIONAL_V1 คำขอ 3707957538 [ N(NO_PROP) ]
17 พฤษภาคม 20:53:09 hamsocial charon: 07[NET] ส่งแพ็กเก็ต: จาก 107.161.22.19[500] ถึง 206.83.248.2[500] (40 ไบต์)

บันทึก Mikrotik:

16:53:49 ipsec ข้อผิดพลาดในการเจรจาเฟส 1 ล้มเหลวเนื่องจากเวลาขึ้น
16:53:57 ipsec ข้อมูลเริ่มต้นเฟส 1 ใหม่ (การป้องกันข้อมูลประจำตัว): 10.0.0.254[500]<=>107.161.22.19[500]