tôi đang sử dụng racoon trong máy tính linux của mình để bật ipsecurity. khi tôi định cấu hình PC1 với mã hóa phase1 "aes256" và PC2 được định cấu hình với "aes128". Khi tôi ping PC2 tới đường hầm PC1 được thiết lập không thành công do lỗi
2021-08-18 07:18:02: LỖI: không tìm thấy đề xuất phù hợp.
18-08-2021 07:18:02: [192.168.95.236] LỖI: không nhận được đề xuất hợp lệ.
18-08-2021 07:18:02: [192.168.95.236] LỖI: không thể xử lý gói ph1 (bên: 1, trạng thái: 1).
khi tôi ping từ PC1 đến PC2 đường hầm được thiết lập. tại sao điều đó xảy ra?
từ nhật ký chi tiết tôi đã thấy điều đó, khi tôi bắt đầu ping tới PC1(aes256) tới PC2(aes128). sau đó cả hai thiết bị đều nhận được các gói có độ dài mã hóa là 256.
Tại sao PC2 gửi gói có độ dài mã hóa 256 thay vì 128.
cách tránh thiết lập đường hầm khi cả hai thiết bị sử dụng kích thước mã hóa aes khác nhau
cấu hình bổ sung cho điều đó là gì?
đây có phải là hành vi mặc định của daemon racoon không?
cấu hình và tệp nhật ký của tôi được hiển thị bên dưới
nhật ký thông báo;
đường dẫn pre_shared_key "/etc/racoon/psk.txt";
chứng chỉ đường dẫn "/root/my_target/disk2/my-pki";
hẹn giờ {
tự nhiên_keepalive 10 giây;
}
nghe {
quản trị viên "/var/racoon/racoon.sock"; }
#bắt đầu khối bản đồ tiền điện tử {
từ xa 192.168.95.236 {
# đề_nghị chấp hành ;
verify_identifier bật;
Exchange_mode chính;
thời gian tồn tại 86400 giây;
bật nat_traversal;
đề xuất {
mã hóa_thuật toán aes256;
thuật toán băm sha1;
dh_group modp2048;
authentication_method pre_shared_key;
}
}
địa chỉ sainfo 192.168.51.0/24 địa chỉ bất kỳ 192.168.95.0/24 bất kỳ {
mã hóa_thuật toán aes256;
xác thực_thuật toán hmac_sha1;
pfs_group modp2048;
nén_thuật toán giảm phát;
thời gian tồn tại 3600 giây;
}
#kết thúc khối bản đồ tiền điện tử
Nhật ký PC1
Nhật ký PC1
ping PC2 đến PC1: đàm phán giai đoạn 1 thất bại
---------------------------------------------
1970-01-01 03:00:29: GỠ LỖI: bắt đầu.
1970-01-01 03:00:29: GỠ LỖI: đã thấy nptype=2(prop)
1970-01-01 03:00:29: GỠ LỖI: thành công.
1970-01-01 03:00:29: GỠ LỖI: đề xuất #1 len=48
1970-01-01 03:00:29: GỠ LỖI: bắt đầu.
1970-01-01 03:00:29: GỠ LỖI: đã thấy nptype=3(trns)
1970-01-01 03:00:29: GỠ LỖI: thành công.
1970-01-01 03:00:29: GỠ LỖI: biến đổi #1 len=40
1970-01-01 03:00:29: GỠ LỖI: type=Life Type, flag=0x8000, lorv=seconds
1970-01-01 03:00:29: GỠ LỖI: type=Tuổi thọ, cờ=0x0000, lorv=4
1970-01-01 03:00:29: GỠ LỖI: type=Thuật toán mã hóa, cờ=0x8000, lorv=AES-CBC
1970-01-01 03:00:29: GỠ LỖI: mã hóa (aes)
1970-01-01 03:00:29: GỠ LỖI: loại=Độ dài khóa, cờ=0x8000, lorv=128
1970-01-01 03:00:29: GỠ LỖI: type=Phương thức xác thực, cờ=0x8000, lorv=khóa chia sẻ trước
1970-01-01 03:00:29: GỠ LỖI: type=Hash Algorithm, flag=0x8000, lorv=SHA
1970-01-01 03:00:29: GỠ LỖI: hàm băm (sha1)
1970-01-01 03:00:29: GỠ LỖI: type=Mô tả nhóm, cờ=0x8000, lorv=nhóm MODP 2048-bit
1970-01-01 03:00:29: GỠ LỖI: hmac(modp2048)
1970-01-01 03:00:29: GỠ LỖI: cặp 1:
1970-01-01 03:00:29: GỠ LỖI: 0xb77138: next=(nil) tnext=(nil)
1970-01-01 03:00:29: GỠ LỖI: đề xuất #1: 1 chuyển đổi
1970-01-01 03:00:29: GỠ LỖI: type=Life Type, flag=0x8000, lorv=seconds
1970-01-01 03:00:29: GỠ LỖI: type=Tuổi thọ, cờ=0x0000, lorv=4
1970-01-01 03:00:29: GỠ LỖI: type=Thuật toán mã hóa, cờ=0x8000, lorv=AES-CBC
1970-01-01 03:00:29: GỠ LỖI: loại=Độ dài khóa, cờ=0x8000, lorv=128
1970-01-01 03:00:29: GỠ LỖI: type=Phương thức xác thực, cờ=0x8000, lorv=khóa chia sẻ trước
1970-01-01 03:00:29: GỠ LỖI: type=Hash Algorithm, flag=0x8000, lorv=SHA
1970-01-01 03:00:29: GỠ LỖI: type=Mô tả nhóm, cờ=0x8000, lorv=nhóm MODP 2048-bit
1970-01-01 03:00:29: GỠ LỖI: prop#=1, prot-id=ISAKMP, spi-size=0, #trns=1
1970-01-01 03:00:29: GỠ LỖI: trns#=1, trns-id=IKE
1970-01-01 03:00:29: GỠ LỖI: trọn đời = 86400
1970-01-01 03:00:29: GỠ LỖI: lifebyte = 0
1970-01-01 03:00:29: GỠ LỖI: enctype = AES-CBC
1970-01-01 03:00:29: GỠ LỖI: **encklen = 128**
1970-01-01 03:00:29: GỠ LỖI: hashtype = SHA
1970-01-01 03:00:29: GỠ LỖI: authmethod = khóa chia sẻ trước
1970-01-01 03:00:29: GỠ LỖI: dh_group = nhóm MODP 2048-bit
1970-01-01 03:00:29: LỖI: không tìm thấy đề xuất phù hợp.
1970-01-01 03:00:29: [192.168.95.236] LỖI: không nhận được đề xuất hợp lệ.
1970-01-01 03:00:29: [192.168.95.236] LỖI: không thể xử lý gói ph1 (bên: 1, trạng thái: 1).
1970-01-01 03:00:39: GỠ LỖI: ===
--------------------------------------------- ----
ping PC1 đến PC2: thiết lập đường hầm
--------------------------------------------- ----
970-01-01 03:04:51: GỠ LỖI: hmac(hmac_sha1)
1970-01-01 03:04:51: GỠ LỖI: mã hóa (aes)
1970-01-01 03:04:51: GỠ LỖI: hmac(sha1)
1970-01-01 03:04:51: GỠ LỖI: **encklen=256** authklen=160
1970-01-01 03:04:51: GỠ LỖI: tạo 640 bit khóa (dupkeymat=4)
1970-01-01 03:04:51: GỠ LỖI: tạo K1...K4 cho KEYMAT.
1970-01-01 03:04:51: GỠ LỖI: hmac(hmac_sha1)
1970-01-01 03:04:51: GỠ LỖI: hmac(hmac_sha1)
1970-01-01 03:04:51: GỠ LỖI: hmac(hmac_sha1)
1970-01-01 03:04:51: GỠ LỖI:
2abfd8d1 ee097b9f 00218a52 7319d021 987fe829 895a5bd4 fa13723c c63061b1
975e5184 bd8bd297 75b3ab45 31a9d440 a2ced002 5f216fd6 34618b39 b23d259b
e80d14b1 a72244d9 f7983742 2b82d222
1970-01-01 03:04:51: GỠ LỖI: KEYMAT được tính toán.
1970-01-01 03:04:51: GỠ LỖI: gọi pk_sendupdate
1970-01-01 03:04:51: GỠ LỖI: mã hóa (aes)
1970-01-01 03:04:51: GỠ LỖI: hmac(sha1)
1970-01-01 03:04:51: GỠ LỖI: gọi pfkey_send_update2
1970-01-01 03:04:51: GỠ LỖI: đã gửi bản cập nhật pfkey.
1970-01-01 03:04:51: GỠ LỖI: mã hóa (aes)
1970-01-01 03:04:51: GỠ LỖI: hmac(sha1)
1970-01-01 03:04:51: GỠ LỖI: gọi pfkey_send_add2 (hương vị NAT)
1970-01-01 03:04:51: GỠ LỖI: gọi pfkey_send_add2
1970-01-01 03:04:51: GỠ LỖI: pfkey add đã gửi.
1970-01-01 03:04:51: GỠ LỖI: pk_recv: thử lại[0] recv()
1970-01-01 03:04:51: GỠ LỖI: có thông báo CẬP NHẬT pfkey
1970-01-01 03:04:51: GỠ LỖI: pfkey CẬP NHẬT thành công: ESP/Tunnel 192.168.51.185[500]->192.168.95.236[500] spi=6990731(0x6aab8b)
1970-01-01 03:04:51: THÔNG TIN: IPsec-SA đã thành lập: ESP/Tunnel 192.168.51.185[500]->192.168.95.236[500] spi=6990731(0x6aab8b)
1970-01-01 03:04:51: GỠ LỖI: ===
1970-01-01 03:04:51: GỠ LỖI: pk_recv: thử lại[0] recv()
1970-01-01 03:04:51: GỠ LỖI: có thông báo THÊM pfkey
1970-01-01 03:04:51: THÔNG TIN: IPsec-SA được thiết lập: ESP/Tunnel 192.168.51.185[500]->192.168.95.236[500] spi=220361463(0xd2272f7)
1970-01-01 03:04:51: GỠ LỖI: ===
Nhật ký PC2
Tệp nhật ký PC2
MÃ HÓA: PC1(aes256) & PC2(aes128)
ping PC đến đầu ra PC1: đàm phán giai đoạn 1 không thành công
--------------------------------------------- ----------------
17-08-2021 13:25:31: GỠ LỖI: pk_recv: thử lại[0] recv()
17-08-2021 13:25:31: GỠ LỖI: có thông báo ACQUIRE pfkey
2021-08-17 13:25:31: GỠ LỖI: Đã tìm thấy SP gửi đi phù hợp: 192.168.95.0/24[0] 192.168.51.0/24[0] proto=any dir=out.
17-08-2021 13:25:31: GỠ LỖI: sub:0x7ffffdefdbe0: 192.168.51.0/24[0] 192.168.95.0/24[0] proto=any dir=in
17-08-2021 13:25:31: GỠ LỖI: db :0x18ce680: 192.168.51.0/24[0] 192.168.95.0/24[0] proto=any dir=fwd
17-08-2021 13:25:31: GỠ LỖI: sub:0x7ffffdefdbe0: 192.168.51.0/24[0] 192.168.95.0/24[0] proto=any dir=in
17-08-2021 13:25:31: GỠ LỖI: db :0x18ce900: 192.168.51.0/24[0] 192.168.95.0/24[0] proto=any dir=in
2021-08-17 13:25:31: GỠ LỖI: Đã tìm thấy SP đầu vào phù hợp: 192.168.51.0/24[0] 192.168.95.0/24[0] proto=any dir=in.
17-08-2021 13:25:31: GỠ LỖI: mới thu được 192.168.95.0/24[0] 192.168.51.0/24[0] proto=any dir=out
17-08-2021 13:25:31: [192.168.51.185] GỠ LỖI: đã chọn cấu hình "192.168.51.185[500]".
2021-08-17 13:25:31: GỠ LỖI: getsainfo params: loc='192.168.95.0/24' rmt='192.168.51.0/24' peer='NULL' client='NULL' id=0
2021-08-17 13:25:31: GỠ LỖI: đánh giá sai thông tin: loc='192.168.95.0/24', rmt='192.168.51.0/24', peer='BẤT CỨ', id=0
17-08-2021 13:25:31: GỠ LỖI: kiểm tra và so sánh id : giá trị phù hợp (IPv4_subnet)
17-08-2021 13:25:31: GỠ LỖI: mục tiêu cmpid: '192.168.95.0/24'
17-08-2021 13:25:31: GỠ LỖI: nguồn cmpid: '192.168.95.0/24'
17-08-2021 13:25:31: GỠ LỖI: kiểm tra và so sánh id : giá trị phù hợp (IPv4_subnet)
17-08-2021 13:25:31: GỠ LỖI: mục tiêu cmpid: '192.168.51.0/24'
17-08-2021 13:25:31: GỠ LỖI: nguồn cmpid: '192.168.51.0/24'
2021-08-17 13:25:31: GỠ LỖI: sainfo đã chọn: loc='192.168.95.0/24', rmt='192.168.51.0/24', peer='BẤT CỨ', id=0
2021-08-17 13:25:31: GỠ LỖI: (proto_id=ESP spisize=4 spi=00000000 spi_p=00000000 encmode=Tunnel reqid=0:0)
17-08-2021 13:25:31: GỠ LỖI: (trns_id=AES encklen=256 authtype=hmac-sha)
2021-08-17 13:25:31: GỠ LỖI: trong post_acquire
17-08-2021 13:25:31: [192.168.51.185] GỠ LỖI: đã chọn cấu hình "192.168.51.185[500]".
17-08-2021 13:25:31: THÔNG TIN: Yêu cầu IPsec-SA cho 192.168.51.185 được xếp hàng đợi do không tìm thấy giai đoạn 1.
2021-08-17 13:25:31: GỠ LỖI: ===
2021-08-17 13:25:31: THÔNG TIN: bắt đầu đàm phán giai đoạn 1 mới: 192.168.95.236[500]<=>192.168.51.185[500]
--------------------------------------------- ----
ping PC1 đến đầu ra PC: thiết lập đường hầm
--------------------------------------------- ----
17-08-2021 13:20:22: GỠ LỖI: hmac(hmac_sha1)
17-08-2021 13:20:22: GỠ LỖI: mã hóa (aes)
2021-08-17 13:20:22: GỠ LỖI: hmac(sha1)
2021-08-17 13:20:22: GỠ LỖI: **encklen=256** authklen=160
17-08-2021 13:20:22: GỠ LỖI: tạo 640 bit khóa (dupkeymat=4)
17-08-2021 13:20:22: GỠ LỖI: tạo K1...K4 cho KEYMAT.
17-08-2021 13:20:22: GỠ LỖI: hmac(hmac_sha1)
17-08-2021 13:20:22: GỠ LỖI: hmac(hmac_sha1)
17-08-2021 13:20:22: GỠ LỖI: hmac(hmac_sha1)
2021-08-17 13:20:22: GỠ LỖI:
6694f3e3 caaf74af 16233ea5 e788fc89 d1e5c074 5b881f77 5a90bf3e 90a94d46
bbb404d5 91f9ef97 77c805e4 2c741f9d c5438870 dc3d983c af70180c 35a2c3b2
ab212480 69c0ae71 23b7a340 1b1455d0
17-08-2021 13:20:22: GỠ LỖI: KEYMAT đã được tính toán.
2021-08-17 13:20:22: GỠ LỖI: gọi pk_sendupdate
17-08-2021 13:20:22: GỠ LỖI: mã hóa (aes)
2021-08-17 13:20:22: GỠ LỖI: hmac(sha1)
17-08-2021 13:20:22: GỠ LỖI: gọi pfkey_send_update2
17-08-2021 13:20:22: GỠ LỖI: đã gửi bản cập nhật pfkey.
17-08-2021 13:20:22: GỠ LỖI: mã hóa (aes)
2021-08-17 13:20:22: GỠ LỖI: hmac(sha1)
17-08-2021 13:20:22: GỠ LỖI: gọi pfkey_send_add2 (Hương vị NAT)
17-08-2021 13:20:22: GỠ LỖI: gọi pfkey_send_add2
2021-08-17 13:20:22: GỠ LỖI: pfkey add đã gửi.
17-08-2021 13:20:22: GỠ LỖI: pk_recv: thử lại[0] recv()
17-08-2021 13:20:22: GỠ LỖI: có thông báo CẬP NHẬT pfkey
2021-08-17 13:20:22: GỠ LỖI: pfkey CẬP NHẬT thành công: ESP/Tunnel 192.168.95.236[500]->192.168.51.185[500] spi=220361463(0xd2272f7)
2021-08-17 13:20:22: THÔNG TIN: Đã thiết lập IPsec-SA: ESP/Tunnel 192.168.95.236[500]->192.168.51.185[500] spi=220361463(0xd2272f7)
2021-08-17 13:20:22: GỠ LỖI: ===
17-08-2021 13:20:22: GỠ LỖI: pk_recv: thử lại[0] recv()
17-08-2021 13:20:22: GỠ LỖI: có thông báo THÊM pfkey
2021-08-17 13:20:22: THÔNG TIN: Đã thiết lập IPsec-SA: ESP/Tunnel 192.168.95.236[500]->192.168.51.185[500] spi=6990731(0x6aab8b)
2021-08-17 13:20:22: GỠ LỖI: ===