Tôi gặp sự cố khi cố gắng thiết lập StrongSwan Client trên Ubuntu.
Đây là các bước tôi làm theo:
Xuất chứng chỉ của người dùng:
openssl pkcs12 -in [email protected] -out username-cert.pem -clcerts -nokeys
Xuất khóa riêng của người dùng:
openssl pkcs12 -in [email protected] -out username-key.pem -nocerts -nodes
Đổi tên chứng chỉ CA:
mv cert_export_CA.crt cacert.pem
Sao chép chứng chỉ & tệp chính vào các thư mục thích hợp:
tên người dùng cp-cert.pem /etc/ipsec.d/certs
cp tên người dùng-key.pem /etc/ipsec.d/private
cp cacert.pem /etc/ipsec.d/cacerts
Chỉnh sửa tệp /etc/ipsec.conf:
kết nối %default
ikelifetime=60m
tuổi thọ phím = 20m
rekeymargin=3m
keyingtries=1
keyexchange=ikev2
kết nối "MIỀN"
leftsourceip=%config
leftcert=tên người dùng-cert.pem
[email protected]
tường lửa trái = có
ngay=vpn.domain.com
rightid=cvpn.domain.com
rightsubnet=0.0.0.0/0
tự động = bắt đầu
Chỉnh sửa /etc/ipsec.secrets:
: Tên người dùng RSA-key.pem "cụm mật khẩu"
Khởi động lại trình nền ipsec:
Sudo ipsec khởi động lại
Kiểm tra nếu kết nối được thiết lập:
trạng thái sudo ipsec
trả về: Hiệp hội bảo mật (0 lên, 0 kết nối):
không ai
ip một
trả về:
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 trạng thái qdisc noqueue nhóm UNKNOWN mặc định qlen 1000
liên kết/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
máy chủ phạm vi inet 127.0.0.1/8 lo
hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
inet6 ::1/128 máy chủ phạm vi
hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
2: enp2s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc trạng thái fq_codel DOWN nhóm mặc định qlen 1000
liên kết/ether 8c:8c:aa:49:56:b0 brd ff:ff:ff:ff:ff:ff
3: wlp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 trạng thái qdisc noqueue UP nhóm mặc định qlen 1000
liên kết/ether b0:a4:60:d9:2c:a4 brd ff:ff:ff:ff:ff:ff
inet <ip>/24 brd <ip> phạm vi toàn cầu động noprefixroute wlp3s0
hợp lệ_lft 168 giây ưa thích_lft 168 giây
inet6 <ip>/64 phạm vi liên kết noprefixroute
hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
Điều đó có nghĩa là tôi không thể kết nối.
Khi tôi chạy ipsec up DOMAIN, tôi nhận được kết quả này:
khởi tạo IKE_SA DOMAIN[2] thành xxx.xxx.xxx.xxx
tạo yêu cầu IKE_SA_INIT 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
gửi gói: từ xxx.xxx.xxx.xxx[500] đến xxx.xxx.xxx.xxx[500] (936 byte)
gói đã nhận: từ xxx.xxx.xxx.xxx[500] đến xxx.xxx.xxx.xxx[500] (38 byte)
đã phân tích cú pháp phản hồi IKE_SA_INIT 0 [ N(INVAL_KE) ]
ngang hàng không chấp nhận nhóm DH ECP_256, nó đã yêu cầu MODP_2048
khởi tạo IKE_SA DOMAIN[2] thành xxx.xxx.xxx.xxx
tạo yêu cầu IKE_SA_INIT 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
gửi gói: từ xxx.xxx.xxx.xxx[500] đến xxx.xxx.xxx.xxx[500] (1128 byte)
gói đã nhận: từ 1xxx.xxx.xxx.xxx[500] đến xxx.xxx.xxx.xxx[500] (437 byte)
phản hồi IKE_SA_INIT đã phân tích cú pháp 0 [ SA KE Không N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) CERTREQ ]
đề xuất đã chọn: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
gửi yêu cầu chứng nhận cho "O=domain.com, CN=vpn.domain.com"
xác thực '[email protected]' (chính tôi) bằng chữ ký RSA thành công
gửi chứng chỉ thực thể cuối "O=domain.com, CN=Template-User"
thiết lập MIỀN TRẺ_SA{2}
tạo yêu cầu IKE_AUTH 1 [ IDi CERT N(INIT_CONTACT) CERTREQ IDr AUTH CPRQ(ADDR DNS) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
tách thông báo IKE (1536 byte) thành 2 đoạn
tạo yêu cầu IKE_AUTH 1 [ EF(1/2) ]
tạo yêu cầu IKE_AUTH 1 [ EF(2/2) ]
gửi gói: từ xxx.xxx.xxx.xxx[4500] đến xxx.xxx.xxx.xxx[4500] (1236 byte)
gửi gói: từ xxx.xxx.xxx.xxx[4500] đến xxx.xxx.xxx.xxx[4500] (372 byte)
gói đã nhận: từ xxx.xxx.xxx.xxx[4500] đến xxx.xxx.xxx.xxx[4500] (1204 byte)
đã phân tích cú pháp phản hồi IKE_AUTH 1 [ EF(1/2) ]
đã nhận được đoạn số 1 trên 2, đang chờ thông báo IKE hoàn chỉnh
gói đã nhận: từ xxx.xxx.xxx.xxx[4500] đến xxx.xxx.xxx.xxx[4500] (564 byte)
đã phân tích cú pháp phản hồi IKE_AUTH 1 [ EF(2/2) ]
đã nhận được đoạn số 2 trên 2, thông báo IKE bị phân mảnh đã được lắp ráp lại (1408 byte)
đã phân tích cú pháp phản hồi IKE_AUTH 1 [ CERT IDr AUTH CPRP(ADDR MASK SUBNET) TSi TSr SA ]
đã nhận được chứng chỉ tổ chức cuối "O=domain.com, CN=vpn.domain.com"
sử dụng chứng chỉ tin cậy "O=domain.com, CN=vpn.domain.com"
xác thực chữ ký không thành công, đang tìm khóa khác
sử dụng chứng chỉ "O=domain.com, CN=vpn.domain.com"
sử dụng chứng chỉ ca đáng tin cậy "O=domain.com, CN=vpn.domain.com"
kiểm tra trạng thái chứng chỉ của "O=domain.com, CN=vpn.domain.com"
trạng thái chứng chỉ không khả dụng
đã đạt đến gốc ca tự ký với độ dài đường dẫn là 0
xác thực 'vpn.domain.com' với chữ ký RSA thành công
kiểm tra ràng buộc không thành công: yêu cầu danh tính 'cvpn.domain.com'
cấu hình ngang hàng đã chọn 'MIỀN' không được chấp nhận: kiểm tra ràng buộc không thành công
không tìm thấy cấu hình thay thế
tạo yêu cầu THÔNG TIN 2 [ N(AUTH_FAILED) ]
gửi gói: từ xxx.xxx.xxx.xxx[4500] đến xxx.xxx.xxx.xxx[4500] (80 byte)
thiết lập kết nối 'MIỀN' không thành công