ฉันมีปัญหาในการตั้งค่า StrongSwan Client บน Ubuntu
นี่คือขั้นตอนที่ฉันปฏิบัติตาม:
ส่งออกใบรับรองของผู้ใช้:
opensl pkcs12 - ใน [email protected] - ออกชื่อผู้ใช้ -cert.pem -clcerts -nokeys
ส่งออกรหัสส่วนตัวของผู้ใช้:
opensl pkcs12 - ใน [email protected] - ออก username-key.pem -nocerts -nodes
เปลี่ยนชื่อใบรับรอง CA:
mv cert_export_CA.crt cacert.pem
คัดลอกใบรับรองและไฟล์คีย์ไปยังไดเร็กทอรีที่เหมาะสม:
cp username-cert.pem /etc/ipsec.d/certs
cp ชื่อผู้ใช้-key.pem /etc/ipsec.d/private
cp cacert.pem /etc/ipsec.d/cacerts
แก้ไขไฟล์ /etc/ipsec.conf:
คอน %default
ikelifetime=60ม
คีย์ไลฟ์=20ม
รีคีย์มาร์จิ้น=3ม
การป้อนคีย์ = 1
การแลกเปลี่ยนคีย์=ikev2
เชื่อมต่อ "DOMAIN"
leftsourceip=%การกำหนดค่า
leftcert=ชื่อผู้ใช้-cert.pem
[email protected]
ไฟร์วอลล์ซ้าย=ใช่
ขวา=vpn.domain.com
rightid=cvpn.domain.com
rightsubnet=0.0.0.0/0
อัตโนมัติ = เริ่มต้น
แก้ไข /etc/ipsec.secrets:
: ชื่อผู้ใช้ RSA-key.pem "ข้อความรหัสผ่าน"
รีสตาร์ท ipsec daemon:
sudo ipsec รีสตาร์ท
ตรวจสอบว่ามีการเชื่อมต่อหรือไม่:
สถานะ sudo ipsec
ผลตอบแทน: สมาคมความปลอดภัย (0 ขึ้น 0 เชื่อมต่อ):
ไม่มี
ไอพี
ผลตอบแทน:
1: จริง: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN กลุ่มเริ่มต้น qlen 1,000
ลิงค์ / ย้อนกลับ 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 ขอบเขตโฮสต์เลย
valid_lft ตลอดไป reserved_lft ตลอดไป
inet6 ::1/128 ขอบเขตโฮสต์
valid_lft ตลอดไป reserved_lft ตลอดไป
2: enp2s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel state DOWN กลุ่มเริ่มต้น qlen 1000
ลิงค์/อีเธอร์ 8c:8c:aa:49:56:b0 brd ff:ff:ff:ff:ff:ff
3: wlp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP กลุ่มเริ่มต้น qlen 1000
ลิงค์/อีเธอร์ b0:a4:60:d9:2c:a4 brd ff:ff:ff:ff:ff:ff
inet <ip>/24 brd <ip> ขอบเขตโกลบอลไดนามิก noprefixroute wlp3s0
valid_lft 168 วินาทีที่ต้องการ_lft 168 วินาที
inet6 <ip>/64 ลิงก์ขอบเขต noprefixroute
valid_lft ตลอดไป reserved_lft ตลอดไป
ซึ่งหมายความว่าฉันไม่สามารถเชื่อมต่อได้
เมื่อฉันเรียกใช้ ipsec ขึ้น DOMAIN ฉันจะได้รับผลลัพธ์นี้:
เริ่มต้น IKE_SA DOMAIN[2] เป็น xxx.xxx.xxx.xxx
กำลังสร้างคำขอ IKE_SA_INIT 0 [ SA KE ไม่ใช่ N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
กำลังส่งแพ็คเก็ต: จาก xxx.xxx.xxx.xxx[500] ถึง xxx.xxx.xxx.xxx[500] (936 ไบต์)
ได้รับแพ็คเก็ต: จาก xxx.xxx.xxx.xxx[500] ถึง xxx.xxx.xxx.xxx[500] (38 ไบต์)
แยกวิเคราะห์การตอบสนอง IKE_SA_INIT 0 [ N(INVAL_KE) ]
เพียร์ไม่ยอมรับกลุ่ม DH ECP_256 มันร้องขอ MODP_2048
เริ่มต้น IKE_SA DOMAIN[2] เป็น xxx.xxx.xxx.xxx
กำลังสร้างคำขอ IKE_SA_INIT 0 [ SA KE ไม่ใช่ N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
กำลังส่งแพ็คเก็ต: จาก xxx.xxx.xxx.xxx[500] ถึง xxx.xxx.xxx.xxx[500] (1128 ไบต์)
แพ็คเก็ตที่ได้รับ: จาก 1xxx.xxx.xxx.xxx[500] ถึง xxx.xxx.xxx.xxx[500] (437 ไบต์)
แยกวิเคราะห์การตอบสนอง IKE_SA_INIT 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) CERTREQ ]
ข้อเสนอที่เลือก: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
กำลังส่งคำขอใบรับรองสำหรับ "O=domain.com, CN=vpn.domain.com"
การรับรองความถูกต้องของ '[email protected]' (ตัวฉันเอง) ด้วยลายเซ็น RSA สำเร็จ
ส่งใบรับรองเอนทิตีปลายทาง "O=domain.com, CN=Template-User"
กำลังสร้าง CHILD_SA DOMAIN{2}
กำลังสร้างคำขอ IKE_AUTH 1 [ IDi CERT N(INIT_CONTACT) CERTREQ IDr AUTH CPRQ(ADDR DNS) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
แยกข้อความ IKE (1536 ไบต์) ออกเป็น 2 ส่วน
กำลังสร้างคำขอ IKE_AUTH 1 [ EF(1/2) ]
กำลังสร้างคำขอ IKE_AUTH 1 [ EF(2/2) ]
กำลังส่งแพ็คเก็ต: จาก xxx.xxx.xxx.xxx[4500] ถึง xxx.xxx.xxx.xxx[4500] (1236 ไบต์)
กำลังส่งแพ็คเก็ต: จาก xxx.xxx.xxx.xxx[4500] ถึง xxx.xxx.xxx.xxx[4500] (372 ไบต์)
ได้รับแพ็คเก็ต: จาก xxx.xxx.xxx.xxx[4500] ถึง xxx.xxx.xxx.xxx[4500] (1204 ไบต์)
แยกวิเคราะห์การตอบสนอง IKE_AUTH 1 [ EF(1/2) ]
ได้รับแฟรกเมนต์ #1 จาก 2 กำลังรอข้อความ IKE ที่สมบูรณ์
ได้รับแพ็คเก็ต: จาก xxx.xxx.xxx.xxx[4500] ถึง xxx.xxx.xxx.xxx[4500] (564 ไบต์)
แยกวิเคราะห์การตอบสนอง IKE_AUTH 1 [ EF(2/2) ]
ได้รับแฟรกเมนต์ #2 จาก 2 ประกอบข้อความ IKE ที่แยกส่วนแล้ว (1408 ไบต์)
แยกวิเคราะห์การตอบสนอง IKE_AUTH 1 [ CERT IDr AUTH CPRP(ADDR MASK SUBNET) TSi TSr SA ]
ได้รับใบรับรองเอนทิตี "O=domain.com, CN=vpn.domain.com"
ใช้ใบรับรองที่เชื่อถือได้ "O=domain.com, CN=vpn.domain.com"
การตรวจสอบลายเซ็นล้มเหลว กำลังค้นหาคีย์อื่น
ใช้ใบรับรอง "O=domain.com, CN=vpn.domain.com"
ใช้ใบรับรอง ca ที่เชื่อถือได้ "O=domain.com, CN=vpn.domain.com"
ตรวจสอบสถานะใบรับรองของ "O=domain.com, CN=vpn.domain.com"
ไม่มีสถานะใบรับรอง
ถึง root ca ที่ลงนามด้วยตนเองโดยมีความยาวพาธเป็น 0
การรับรองความถูกต้องของ 'vpn.domain.com' ด้วยลายเซ็น RSA สำเร็จ
การตรวจสอบข้อจำกัดล้มเหลว: จำเป็นต้องมีข้อมูลระบุตัวตน 'cvpn.domain.com'
การกำหนดค่าเพียร์ที่เลือก 'DOMAIN' ไม่สามารถยอมรับได้: การตรวจสอบข้อจำกัดล้มเหลว
ไม่พบการกำหนดค่าอื่น
กำลังสร้างคำขอข้อมูล 2 [ N(AUTH_FAILED) ]
กำลังส่งแพ็คเก็ต: จาก xxx.xxx.xxx.xxx[4500] ถึง xxx.xxx.xxx.xxx[4500] (80 ไบต์)
สร้างการเชื่อมต่อ 'DOMAIN' ล้มเหลว