Cách sử dụng chế độ tích cực + chế độ vận chuyển + PSK để đàm phán SA với máy chủ Strongswan trong môi trường NAT-T

Tôi đã sử dụng chế độ truyền tải và môi trường NAT-T để đàm phán SA và phương thức xác thực ngang hàng là PSK.

Khi tôi sử dụng Chế độ chính, thương lượng IKE có thể được hoàn thành thông thường, nhật ký của PSK là:

Ngày 6 tháng 1 01:24:06 09[CFG] <1> đang tìm cấu hình ngang hàng khóa được chia sẻ trước khớp với 192.168.163.130...10.1.1.10[10.1.1.10]
Ngày 6 tháng 1 01:24:06 09[CFG] <1> ứng cử viên "trap-a", trận đấu: 20/1/3100 (me/other/ike)
Ngày 6 tháng 1 01:24:06 09[CFG] <1> đã chọn cấu hình ngang hàng "trap-a"

Nhưng khi tôi sử dụng Chế độ tích cực, lời nhắc Strongswan lỗi khi xử lý tin nhắn nhận được đầu tiên:

Ngày 6 tháng 1 01:45:38 05[CFG] <1> đang tìm cấu hình ngang hàng khóa được chia sẻ trước khớp với 192.168.163.130...10.1.1.10[10.1.1.10]
Ngày 6 tháng 1 01:45:38 05[IKE] <1> không tìm thấy cấu hình ngang hàng

Tôi đã kiểm tra nhật ký khởi tạo, có vẻ như không có vấn đề gì vì ID được tải dưới dạng:

Ngày 6 tháng 1 01:23:45 00[CFG] tải bí mật từ '/etc/strongswan/ipsec.secrets'
Ngày 6 tháng 1 01:23:45 00[CFG] đã tải bí mật IKE cho %any
Ngày 6 tháng 1 01:23:45 00[CFG] đã tải bí mật IKE cho %any
Ngày 6 tháng 1 01:23:45 00[CFG] đã tải bí mật IKE cho 10.1.1.10

Cấu hình của tôi là như thổi:

ipsec.conf

kết nối %default
    ikelifetime=6m
    tuổi thọ phím = 5m
    rekeymargin=3m
    keyingtries=1
    keyexchange=ikev1
    ike=aes256-sha256-modp1024
    đặc biệt=aes256-sha256-modp1024
    authby=psk
    loại = vận chuyển
    auto=lộ trình
    phân mảnh = không
    gõ lại = không
    forceencaps=yes

conn bẫy-a
    hung hăng=có # nó sẽ được đặt thành hung hăng=không khi sử dụng chế độ chính
    trái=192.168.163.130
    leftsubnet=192.168.163.0/24
    phải=10.1.1.10
    rightsubnet=10.1.1.0/24
    auto=thêm

ipsec.secrets

: Tái bút "123456"
%any : PSK "123456"
10.1.1.10 : PSK "123456"

Strongswan.conf

charon {
        load_modular = có
        i_dont_care_about_security_and_use_aggressive_mode_psk = có
        bổ sung {
                bao gồm Strongswan.d/charon/*.conf
        }
        install_routes = không

        tập tin {
                charon {
                        đường dẫn = /etc/strongswan/logs/strongswan.log
                        time_format = %b %e %T
                        ike_name = có
                        nối thêm = không
                        mặc định = 2
                        flush_line = có
                }
                stderr {
                        ike = 4
                        kl = 4
                }
        }
}

bao gồm Strongswan.d/*.conf

Có bất kỳ sai với cấu hình của tôi?

Và sơ đồ cấu trúc liên kết mạng giống như:

Bộ khởi tạo mạng công cộng --- NAT mạng công cộng --- Bộ phản hồi mạng nội bộ
10.1.1.10-----------------10.1.1.11--192.168.163.1------192.168.163.130                                           

Cảm ơn vì sự giúp đỡ!