Tôi đang cố gắng thiết lập kết nối IPsec u giữa hai máy ảo bằng Strongswan. Cấu hình trên máy đầu tiên của tôi như sau (ipsec.conf
):
kết nối %default
ikelifetime=60m
tuổi thọ phím = 20m
rekeymargin=3m
keyingtries=1
xe máy = không
keyexchange=ikev2
authby=pubkey
đặc biệt=null-sha1!
kết nối máy chủ với máy chủ
trái=192.168.56.102
leftcert=/etc/ipsec.d/certs/servercert.pem
leftid="C=..., ST=..., O=..., OU=SSTT, CN=www.sstt.org"
phải=192.168.56.101
rightid="C=..., ST=..., O=..., OU=SSTT, CN=tên"
loại = đường hầm
tự động = bắt đầu
Tập tin ipsec.secrets
chứa tuyến đường chính xác đến khóa riêng. Cấu hình trên máy thứ hai của tôi khớp với cấu hình được liệt kê ở đây.
Vấn đề của tôi là: khi SA được thiết lập vì một số lý do trên máy (máy chủ) đầu tiên của tôi, danh sách chính sách sẽ như sau:
src 192.168.56.101/32 dst 192.168.56.102/32
dir fwd ưu tiên 2819
tmpl src 192.168.56.101 dst 192.168.56.102
đường hầm chế độ proto esp reqid 1
src 192.168.56.101/32 dst 192.168.56.102/32
thư mục ưu tiên 2819
tmpl src 192.168.56.101 dst 192.168.56.102
đường hầm chế độ proto esp reqid 1
src 192.168.56.102/32 dst 192.168.56.101/32
dir out ưu tiên 2819
tmpl src 192.168.56.102 dst 192.168.56.101
đường hầm chế độ proto esp reqid 1
src 192.168.56.101/32 dst 192.168.56.102/32
ưu tiên khối hành động dir fwd 12035
src 192.168.56.101/32 dst 192.168.56.102/32
dir trong ưu tiên khối hành động 12035
src 192.168.56.102/32 dst 192.168.56.101/32
dir out ưu tiên khối hành động 12035
Danh sách chính sách của máy khách không có bất kỳ chính sách nào có hành động chặn, chỉ có các chính sách đúng.
Tôi đã nắm bắt một số lưu lượng truy cập bằng Wireshark và nhận thấy rằng khi máy chủ của tôi ping máy thứ hai, các gói ICMP được gửi hai lần, một lần có tiêu đề ESP và một lần không có. Máy thứ hai chỉ trả lời những cái không có.
Tôi đã thử xóa các chính sách bằng hành động chặn nhưng rõ ràng là nó không hoạt động.
Đầu ra nhật ký sau khi khởi động lại dịch vụ ở phía máy chủ:
Ngày 11 tháng 6 15:29:28 Đã nhận được tín hiệu ubuntu-server charon: 00[DMN] loại SIGINT. Đang Tắt
Ngày 11 tháng 6 15:29:28 ubuntu-server charon: 00[IKE] xóa IKE_SA host-to-host[2] giữa 192.168.56.102[C=..., ST=..., O=..., OU =SSTT, CN=www.sstt.org]...192.168.56.101[C=..., ST=..., O=..., OU=SSTT, CN=name]
Ngày 11 tháng 6 15:29:28 ubuntu-server charon: 00[IKE] gửi XÓA cho IKE_SA Host-to-host[2]
Ngày 11 tháng 6 15:29:28 ubuntu-server charon: 00[ENC] tạo yêu cầu THÔNG TIN 0 [ D ]
Ngày 11 tháng 6 15:29:28 ubuntu-server charon: 00[NET] gửi gói: từ 192.168.56.102[500] đến 192.168.56.101[500] (76 byte)
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 00[DMN] Khởi động IKE charon daemon (strongSwan 5.3.5, Linux 4.4.0-186-generic, x86_64)
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 00[CFG] đang tải chứng chỉ ca từ '/etc/ipsec.d/cacerts'
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 00[CFG] đã tải chứng chỉ ca "C=..., ST=..., O=..., OU=SSTT, CN=ca.sstt.org" từ '/etc/ipsec.d/cacerts/cacert.pem'
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 00[CFG] đang tải chứng chỉ aa từ '/etc/ipsec.d/aacerts'
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 00[CFG] đang tải chứng chỉ người ký ocsp từ '/etc/ipsec.d/ocspcerts'
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 00[CFG] đang tải chứng chỉ thuộc tính từ '/etc/ipsec.d/acerts'
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 00[CFG] đang tải crl từ '/etc/ipsec.d/crls'
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 00[CFG] đang tải bí mật từ '/etc/ipsec.secrets'
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 00[CFG] đã tải khóa riêng RSA từ '/etc/ipsec.d/private/serverkey.pem'
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 00[LIB] đã tải plugin: charon test-vectors aes rc2 sha1 sha2 md4 md5 ngẫu nhiên nonce x509 ràng buộc thu hồi pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent xcbc hmac gcm attr kernel-netlink giải quyết updown đột quỵ kết nối socket-default
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 00[LIB] giảm khả năng, chạy dưới dạng uid 0, gid 0
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 00[JOB] sinh ra 16 worker thread
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 11[CFG] đã nhận đột quỵ: thêm kết nối 'host-to-host'
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 11[CFG] đã tải chứng chỉ "C=..., ST=..., O=..., OU=SSTT, CN=www.sstt.org" từ '/etc/ipsec.d/certs/servercert.pem'
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 11[CFG] đã thêm cấu hình 'host-to-host'
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 13[CFG] đã nhận đột quỵ: bắt đầu 'host-to-host'
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 13[IKE] khởi tạo IKE_SA host-to-host[1] thành 192.168.56.101
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 13[ENC] tạo yêu cầu IKE_SA_INIT 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(HASH_ALG) ]
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 13[NET] gửi gói: từ 192.168.56.102[500] đến 192.168.56.101[500] (1124 byte)
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 15[NET] đã nhận gói: từ 192.168.56.101[500] đến 192.168.56.102[500] (481 byte)
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 15[ENC] đã phân tích cú pháp phản hồi IKE_SA_INIT 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(HASH_ALG) N(MULT_AUTH) ]
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 15[IKE] đã nhận được yêu cầu chứng chỉ cho "C=..., ST=..., O=..., OU=SSTT, CN=ca.sstt.org "
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 15[IKE] gửi yêu cầu chứng chỉ cho "C=..., ST=..., O=..., OU=SSTT, CN=ca.sstt.org "
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: xác thực 15[IKE] của 'C=..., ST=..., O=..., OU=SSTT, CN=www.sstt.org' ( tôi) với RSA_EMSA_PKCS1_SHA256 thành công
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 15[IKE] gửi chứng chỉ thực thể cuối "C=..., ST=..., O=..., OU=SSTT, CN=www.sstt.org "
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 15[IKE] thiết lập CHILD_SA host-to-host
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 15[ENC] tạo yêu cầu IKE_AUTH 1 [ IDi CERT N(INIT_CONTACT) CERTREQ IDr AUTH SA TSi TSr N(MULT_AUTH) N(EAP_ONLY) ]
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 15[NET] gửi gói: từ 192.168.56.102[500] đến 192.168.56.101[500] (1628 byte)
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 16[NET] đã nhận gói: từ 192.168.56.101[500] đến 192.168.56.102[500] (1500 byte)
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 16[ENC] đã phân tích cú pháp phản hồi IKE_AUTH 1 [ IDr CERT AUTH SA TSi TSr N(AUTH_LFT) ]
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 16[IKE] đã nhận được chứng chỉ thực thể cuối "C=..., ST=..., O=..., OU=SSTT, CN=name"
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 16[CFG] sử dụng chứng chỉ "C=..., ST=..., O=..., OU=SSTT, CN=name"
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 16[CFG] sử dụng chứng chỉ ca đáng tin cậy "C=..., ST=..., O=..., OU=SSTT, CN=ca.sstt.org "
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 16[CFG] kiểm tra trạng thái chứng chỉ của "C=..., ST=..., O=..., OU=SSTT, CN=name"
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: trạng thái chứng chỉ 16[CFG] không khả dụng
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 16[CFG] đạt root ca tự ký với độ dài đường dẫn là 0
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 16[IKE] xác thực 'C=..., ST=..., O=..., OU=SSTT, CN=name' với RSA_EMSA_PKCS1_SHA256 thành công
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 16[IKE] IKE_SA host-to-host[1] được thiết lập giữa 192.168.56.102[C=..., ST=..., O=..., OU =SSTT, CN=www.sstt.org]...192.168.56.101[C=..., ST=..., O=..., OU=SSTT, CN=name]
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 16[IKE] lên lịch xác thực lại trong 3250 giây
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 16[IKE] tối đa IKE_SA trọn đời 3430 giây
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 16[KNL] chính sách đã tồn tại, hãy thử cập nhật nó
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: thông báo lặp lại 2 lần: [ 16[KNL] policy đã tồn tại, hãy thử cập nhật]
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 16[IKE] CHILD_SA host-to-host{1} được thiết lập với SPI c056e14a_i c62093a4_o và TS 192.168.56.102/32 === 192.168.56.101/32
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 16[IKE] đã nhận AUTH_LIFETIME sau 3364 giây, lên lịch xác thực lại sau 3184 giây
Ai đó có thể giải thích những gì đang xảy ra? cảm ơn trước