Libreswan 3.15 не будет инициировать сеансы оппортунистического шифрования, а 3.23 - мне нужно 3.15

Question

Libreswan 3.15 не будет инициировать сеансы оппортунистического шифрования, а 3.23 - мне нужно 3.15

У меня есть две тестовые системы: на западе работает Libreswan 3.15 и на востоке работает Libreswan 3.23 (обе CentOS 6). Оба имеют по существу одинаковую конфигурацию:

east.conf (west.conf по сути то же самое)

#version 2.0

config setup
        # put the logs in /tmp for the UMLs, so that we can operate
        # without syslogd, which seems to break on UMLs
        logfile=/tmp/pluto.log
        logtime=no
        logappend=no
        plutodebug=all
        dumpdir=/tmp
        protostack=netkey
        virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:!192.0.2.0/24,%v6:!2001:db8:0:2::/64
        nhelpers=4

conn private
        also=west-east-oe-id-psk
        also=west-east-oe-ipv4
        type=transport
        ikev2=insist
        auto=route
        narrowing=yes

conn west-east-oe-id-psk
        leftid=@test
        rightid=@test
        authby=secret

conn west-east-oe-ipv4
        left=%defaultroute
        right=%opportunisticgroup

east.secrets (опять же, запад тот же)

@test @test : PSK "ABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890"

восток: политика / частная

# This file defines the set of CIDRs (network/mask-length) to which
# communication should always be private (i.e. encrypted).
# See /usr/share/doc/libreswan/policygroups.html for details.
#
# $Id: private.in,v 1.4 2003/02/17 02:22:15 mcr Exp $
#
10.10.10.101 # west host

запад: политика / частный

# This file defines the set of CIDRs (network/mask-length) to which
# communication should always be private (i.e. encrypted).
# See /usr/share/doc/libreswan/policygroups.html for details.
#
# $Id: private.in,v 1.4 2003/02/17 02:22:15 mcr Exp $
#
10.10.10.100 # east host

восток и запад: политика / очистить

# This file defines the set of CIDRs (network/mask-length) to which
# communication should always be in the clear.
#
# See /usr/share/doc/libreswan/policygroups.html for details.
#

# root name servers should be in the clear
192.58.128.30/32
198.41.0.4/32
192.228.79.201/32
192.33.4.12/32
128.8.10.90/32
192.203.230.10/32
192.5.5.241/32
192.112.36.4/32
128.63.2.53/32
192.36.148.17/32
193.0.14.129/32
199.7.83.42/32
202.12.27.33/32

10.10.9.0/24 # My management network

восток и запад: политика / частная или прозрачная

# This file defines the set of CIDRs (network/mask-length) to which
# communication should be private, if possible, but in the clear otherwise.
#
# If the target has a TXT (later IPSECKEY) record that specifies
# authentication material, we will require private (i.e. encrypted)
# communications.  If no such record is found, communications will be
# in the clear.
#
# See /usr/share/doc/libreswan/policygroups.html for details.
#
# $Id: private-or-clear.in,v 1.5 2003/02/17 02:22:15 mcr Exp $
#

0.0.0.0/0

восток и запад: политика / четкая или частная

empty file

Когда я пытаюсь установить новое соединение с запада (3.15) на восток (3.23), запад никогда не пытается установить соединение - никакие пакеты не обмениваются.

Когда я инициирую соединения с востока (3,23) на запад (3,15), создается SA, как я и ожидал, и хосты могут общаться.

Когда я обновляю запад до 3.23, соединение может быть инициировано любой стороной. К сожалению, я должен использовать 3.15 в своей производственной среде, поэтому обновление Libreswan до более новой версии не вариант.

Как я могу заставить оппортунистическое шифрование работать с Libreswan 3.15?

0

encryption libreswan

Источник

Matthew Johnson 04 июн '18 в 19:44

0 ответов

Другие вопросы по тегам encryption libreswan