Tham gia Đăng nhập
Điểm:0
Iraklis Bekiaris avatar Ubuntu

Cài đặt và cấu hình StrongSwan Client trên Ubuntu

lá cờ hu
Iraklis Bekiaris

Tôi gặp sự cố khi cố gắng thiết lập StrongSwan Client trên Ubuntu.

Đây là các bước tôi làm theo:

Xuất chứng chỉ của người dùng:

openssl pkcs12 -in [email protected] -out username-cert.pem -clcerts -nokeys

Xuất khóa riêng của người dùng:

openssl pkcs12 -in [email protected] -out username-key.pem -nocerts -nodes

Đổi tên chứng chỉ CA:

mv cert_export_CA.crt cacert.pem

Sao chép chứng chỉ & tệp chính vào các thư mục thích hợp:

tên người dùng cp-cert.pem /etc/ipsec.d/certs
cp tên người dùng-key.pem /etc/ipsec.d/private
cp cacert.pem /etc/ipsec.d/cacerts

Chỉnh sửa tệp /etc/ipsec.conf:

kết nối %default
    ikelifetime=60m
    tuổi thọ phím = 20m
    rekeymargin=3m
    keyingtries=1
    keyexchange=ikev2
kết nối "MIỀN"
    leftsourceip=%config
    leftcert=tên người dùng-cert.pem
    [email protected]
    tường lửa trái = có
    ngay=vpn.domain.com
    rightid=cvpn.domain.com
    rightsubnet=0.0.0.0/0
    tự động = bắt đầu

Chỉnh sửa /etc/ipsec.secrets:

: Tên người dùng RSA-key.pem "cụm mật khẩu"

Khởi động lại trình nền ipsec:

Sudo ipsec khởi động lại

Kiểm tra nếu kết nối được thiết lập:

trạng thái sudo ipsec

trả về: Hiệp hội bảo mật (0 lên, 0 kết nối): không ai

ip một

trả về:

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 trạng thái qdisc noqueue nhóm UNKNOWN mặc định qlen 1000   
    liên kết/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00    
    máy chủ phạm vi inet 127.0.0.1/8 lo   
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi    
    inet6 ::1/128 máy chủ phạm vi     
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi    
2: enp2s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc trạng thái fq_codel DOWN nhóm mặc định qlen 1000    
    liên kết/ether 8c:8c:aa:49:56:b0 brd ff:ff:ff:ff:ff:ff    
3: wlp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 trạng thái qdisc noqueue UP nhóm mặc định qlen 1000   
    liên kết/ether b0:a4:60:d9:2c:a4 brd ff:ff:ff:ff:ff:ff  
    inet <ip>/24 brd <ip> phạm vi toàn cầu động noprefixroute wlp3s0 
       hợp lệ_lft 168 giây ưa thích_lft 168 giây    
    inet6 <ip>/64 phạm vi liên kết noprefixroute 
       hợp lệ_lft mãi mãi ưa thích_lft mãi mãi

Điều đó có nghĩa là tôi không thể kết nối.

Khi tôi chạy ipsec up DOMAIN, tôi nhận được kết quả này:

khởi tạo IKE_SA DOMAIN[2] thành xxx.xxx.xxx.xxx
tạo yêu cầu IKE_SA_INIT 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
gửi gói: từ xxx.xxx.xxx.xxx[500] đến xxx.xxx.xxx.xxx[500] (936 byte)
gói đã nhận: từ xxx.xxx.xxx.xxx[500] đến xxx.xxx.xxx.xxx[500] (38 byte)
đã phân tích cú pháp phản hồi IKE_SA_INIT 0 [ N(INVAL_KE) ]
ngang hàng không chấp nhận nhóm DH ECP_256, nó đã yêu cầu MODP_2048
khởi tạo IKE_SA DOMAIN[2] thành xxx.xxx.xxx.xxx
tạo yêu cầu IKE_SA_INIT 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
gửi gói: từ xxx.xxx.xxx.xxx[500] đến xxx.xxx.xxx.xxx[500] (1128 byte)
gói đã nhận: từ 1xxx.xxx.xxx.xxx[500] đến xxx.xxx.xxx.xxx[500] (437 byte)
phản hồi IKE_SA_INIT đã phân tích cú pháp 0 [ SA KE Không N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) CERTREQ ]
đề xuất đã chọn: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
gửi yêu cầu chứng nhận cho "O=domain.com, CN=vpn.domain.com"
xác thực '[email protected]' (chính tôi) bằng chữ ký RSA thành công
gửi chứng chỉ thực thể cuối "O=domain.com, CN=Template-User"
thiết lập MIỀN TRẺ_SA{2}
tạo yêu cầu IKE_AUTH 1 [ IDi CERT N(INIT_CONTACT) CERTREQ IDr AUTH CPRQ(ADDR DNS) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
tách thông báo IKE (1536 byte) thành 2 đoạn
tạo yêu cầu IKE_AUTH 1 [ EF(1/2) ]
tạo yêu cầu IKE_AUTH 1 [ EF(2/2) ]
gửi gói: từ xxx.xxx.xxx.xxx[4500] đến xxx.xxx.xxx.xxx[4500] (1236 byte)
gửi gói: từ xxx.xxx.xxx.xxx[4500] đến xxx.xxx.xxx.xxx[4500] (372 byte)
gói đã nhận: từ xxx.xxx.xxx.xxx[4500] đến xxx.xxx.xxx.xxx[4500] (1204 byte)
đã phân tích cú pháp phản hồi IKE_AUTH 1 [ EF(1/2) ]
đã nhận được đoạn số 1 trên 2, đang chờ thông báo IKE hoàn chỉnh
gói đã nhận: từ xxx.xxx.xxx.xxx[4500] đến xxx.xxx.xxx.xxx[4500] (564 byte)
đã phân tích cú pháp phản hồi IKE_AUTH 1 [ EF(2/2) ]
đã nhận được đoạn số 2 trên 2, thông báo IKE bị phân mảnh đã được lắp ráp lại (1408 byte)
đã phân tích cú pháp phản hồi IKE_AUTH 1 [ CERT IDr AUTH CPRP(ADDR MASK SUBNET) TSi TSr SA ]
đã nhận được chứng chỉ tổ chức cuối "O=domain.com, CN=vpn.domain.com"
  sử dụng chứng chỉ tin cậy "O=domain.com, CN=vpn.domain.com"
xác thực chữ ký không thành công, đang tìm khóa khác
  sử dụng chứng chỉ "O=domain.com, CN=vpn.domain.com"
  sử dụng chứng chỉ ca đáng tin cậy "O=domain.com, CN=vpn.domain.com"
kiểm tra trạng thái chứng chỉ của "O=domain.com, CN=vpn.domain.com"
trạng thái chứng chỉ không khả dụng
  đã đạt đến gốc ca tự ký với độ dài đường dẫn là 0
xác thực 'vpn.domain.com' với chữ ký RSA thành công
kiểm tra ràng buộc không thành công: yêu cầu danh tính 'cvpn.domain.com' 
cấu hình ngang hàng đã chọn 'MIỀN' không được chấp nhận: kiểm tra ràng buộc không thành công
không tìm thấy cấu hình thay thế
tạo yêu cầu THÔNG TIN 2 [ N(AUTH_FAILED) ]
gửi gói: từ xxx.xxx.xxx.xxx[4500] đến xxx.xxx.xxx.xxx[4500] (80 byte)
thiết lập kết nối 'MIỀN' không thành công
382
0 + 0
vpn
Điểm:1
avatar Ubuntu
lá cờ us
ecdsa 
rightid=cvpn.domain.com

có lẽ nên

rightid=vpn.domain.com
0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.