Tham gia Đăng nhập
Điểm:0
curious_weather avatar Server

Strongswan IPsec bỏ qua yêu cầu chứng chỉ trống

lá cờ in
curious_weather

Tôi đang cố gắng thiết lập kết nối VPN dựa trên chứng chỉ với modem (Digi WAN Connect 3G) tại hiện trường.

Sử dụng phiên bản ipsec Linux StrongSwan U5.8.2/K5.8.0-55-generic trên Ubuntu 20.04.

Tôi khá chắc chắn rằng tôi đang thiết lập chính xác các chứng chỉ với pki. Sau khi thực hiện ipsec lên modem15 trên máy chủ tôi nhận được những tin nhắn này:

khởi tạo Chế độ chính IKE_SA modem15[1] tới ..
tạo yêu cầu ID_PROT 0 [ SA V V V V V ]
gửi gói tin: từ ..[500] đến ..[500] (248 byte)
gói đã nhận: từ ..[500] đến ..[500] (144 byte)
phản hồi ID_PROT đã phân tích cú pháp 0 [ SA V V V ]
đã nhận ID nhà cung cấp NAT-T (RFC 3947)
đã nhận ID nhà cung cấp nháp-ietf-ipsec-nat-t-ike-00
đã nhận được bản nháp-ietf-ipsec-nat-t-ike-02\n ID nhà cung cấp
đề xuất đã chọn: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536
tạo yêu cầu ID_PROT 0 [ KE No NAT-D NAT-D ]
gửi gói tin: từ ..[500] đến ..[500] (308 byte)
gói đã nhận: từ ..[500] đến ..[500] (358 byte)
phản hồi ID_PROT đã phân tích cú pháp 0 [ KE No CERTREQ CERTREQ NAT-D NAT-D ]
đã nhận được yêu cầu chứng chỉ cho 'C=AT, O=.., CN=..'
**bỏ qua yêu cầu chứng chỉ mà không có dữ liệu**
gửi yêu cầu chứng chỉ cho "C=AT, O=.., CN=.."
xác thực 'C=AT, O=.., CN=..' (bản thân tôi) thành công
gửi chứng chỉ thực thể cuối "C=AT, O=.., CN=.."
tạo yêu cầu ID_PROT 0 [ ID CERT SIG CERTREQ N(INITIAL_CONTACT) ]
gửi gói tin: từ ..[500] đến ..[500] (1548 byte)
gửi truyền lại 1 của thông điệp yêu cầu ID 0, thứ tự 3

Sau đó, nó chỉ tiếp tục truyền lại.

Trên modem tôi nhận được các thông báo lỗi sau:

2021-07-06 14:42:24 Bộ phản hồi ipsec nhận MM[3] và gửi MM[4]
2021-07-06 14:42:24 ipsec ngang hàng @..: Chế độ chính i3r3, kiểm tra chứng chỉ ngang hàng không thành công
2021-07-06 14:42:24 ipsec ngang hàng @..: Chế độ chính i3r3, thông báo của ngang hàng chứa tiêu đề không mong muốn

Ipsec.conf của tôi như sau:

thiết lập cấu hình

kết nối %default
        ikelifetime=24h
        tuổi thọ phím = 23h
        rekeymargin=10m
        ike=3des-sha-modp1536
        keyexchange=ikev1
        authby=rsasig
        còn lại =% bất kỳ
        leftid=$serverip
        leftcert=/etc/ipsec.d/certs/server-cert.pem
        leftsendcert=luôn luôn
        leftsubnet=172.29.0.0/24
        tường lửa trái = có
        dpdaction=xóa
        dpddelay=300s
        quyềnendcert=luôn luôn
        auto=thêm

kết nối modem15
        phải=$dyndnsip
        rightsubnet=$rightsn
        rightid="C=AT, O=.., CN=modem15"

Tôi đã thử tất cả các loại tùy chọn ipsec.conf.

Niềm tin hiện tại của tôi là ipsec trên máy chủ sẽ gửi chứng chỉ khi modem gửi yêu cầu chứng chỉ trống. Tuy nhiên, tôi không tìm thấy các tùy chọn hoặc cách để làm điều đó.

Bạn có thể giúp tôi ra ở đây? Tôi thực sự đập đầu vào tường với cái này.

100
0 + 1
lá cờ cn
ecdsa
Yêu cầu chứng chỉ trống không thực sự là vấn đề (như thông báo tường trình cho biết, nó chỉ bị bỏ qua). Như bạn có thể thấy, chứng chỉ thực sự được gửi trong yêu cầu MM thứ ba (tải trọng `CERT`). Nhưng rõ ràng, modem không thích chứng chỉ của máy chủ nên nó không phản hồi (không biết thông báo tường trình liên quan đến tiêu đề không mong muốn có nghĩa là gì). Có thể thiếu một cái gì đó ở đó (chẳng hạn như neo tin cậy) hoặc chứng chỉ của bạn không chính xác.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.