Как использовать агрессивный режим + транспортный режим + PSK для согласования SA с сервером Strongswan в среде NAT-T

Question

Как использовать агрессивный режим + транспортный режим + PSK для согласования SA с сервером Strongswan в среде NAT-T

Для согласования SA я использовал транспортный режим и среду NAT-T, а методом аутентификации узла является PSK.

Когда я использую основной режим , согласование IKE может быть завершено нормально , журналы PSK:

      Jan  6 01:24:06 09[CFG] <1> looking for pre-shared key peer configs matching 192.168.163.130...10.1.1.10[10.1.1.10]
Jan  6 01:24:06 09[CFG] <1>   candidate "trap-a", match: 1/20/3100 (me/other/ike)
Jan  6 01:24:06 09[CFG] <1> selected peer config "trap-a"

Но когда я использую Aggressive Mode , Strongswan выдает ошибки при обработке первого полученного сообщения:

      Jan  6 01:45:38 05[CFG] <1> looking for pre-shared key peer configs matching 192.168.163.130...10.1.1.10[10.1.1.10]
Jan  6 01:45:38 05[IKE] <1> no peer config found

Я проверил журнал инициализации, проблем нет, потому что идентификаторы загружаются как:

      Jan  6 01:23:45 00[CFG] loading secrets from '/etc/strongswan/ipsec.secrets'
Jan  6 01:23:45 00[CFG]   loaded IKE secret for %any
Jan  6 01:23:45 00[CFG]   loaded IKE secret for %any
Jan  6 01:23:45 00[CFG]   loaded IKE secret for 10.1.1.10

Моя конфигурация такая же:

ipsec.conf

      conn %default
    ikelifetime=6m
    keylife=5m
    rekeymargin=3m
    keyingtries=1
    keyexchange=ikev1
    ike=aes256-sha256-modp1024
    esp=aes256-sha256-modp1024
    authby=psk
    type=transport
    auto=route
    fragmentation=no
    rekey=no
    forceencaps=yes

conn trap-a
    aggressive=yes # it will set to  aggressive=no  when using main mode
    left=192.168.163.130
    leftsubnet=192.168.163.0/24
    right=10.1.1.10
    rightsubnet=10.1.1.0/24
    auto=add

ipsec.secrets

      : PSK "123456"
%any : PSK "123456"
10.1.1.10 : PSK "123456"

Strongswan.conf

      charon {
        load_modular = yes
        i_dont_care_about_security_and_use_aggressive_mode_psk = yes
        plugins {
                include strongswan.d/charon/*.conf
        }
        install_routes = no

        filelog {
                charon {
                        path = /etc/strongswan/logs/strongswan.log
                        time_format = %b %e %T
                        ike_name = yes
                        append = no
                        default = 2
                        flush_line = yes
                }
                stderr {
                        ike = 4
                        knl = 4
                }
        }
}

include strongswan.d/*.conf

Что-то не так с моими конфигами?

И схема топологии сети выглядит так:

      Public network initiator --- Public network NAT --- Intranet responder
10.1.1.10-----------------10.1.1.11--192.168.163.1------192.168.163.130

Спасибо за помощь!

0

centos7 nat ikev1

Источник

freshman.ipsec 06 янв '22 в 07:29

0 ответов

Другие вопросы по тегам centos7 nat ikev1