我在这里尝试将 Linux Ubuntu VPC 计算机连接到 Azure 云网络接口,我唯一无法弄清楚的是如何配置我的 IKE 和 ESP 以匹配以下内容 -
IKEv2 加密 | GCMAES256、AES256 IKEv2 完整性 | GCMAES256、SHA384、SHA256、SHA1 DH 组 | DHGroup2 IPsec 加密 | GCMAES256、AES256 IPsec 完整性 | GCMAES256、SHA256 PFS 组 | 无、PFS24、ECP384、ECP256、PFS2048、PFS2、PFS1
我迄今为止尝试过的所有变体
#ike=chacha20poly1305-sha512-curve25519-prfsha512,aes256gcm16-sha384-prfsha384-ecp384,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024!
#ike=3des-sha1-modp1024!
ike=aes256-sha256-modp1024,aes256-sha1-modp1024!
#esp=chacha20poly1305-sha512,aes256gcm16-ecp384,aes256-sha256,aes256-sha1,3des-sha1!
#esp=aes256-sha256-modp1024!
esp=aes256-sha256-modp1024!
我试图理解并解读 ->https://docs.strongswan.org/docs/5.9/config/IKEv2CipherSuites.html但我不知道该用哪一个
答案1
遵循配置
ike=aes256-sha1-modp1024!
esp=aes256-sha1-modp2048!
使用 Azure 默认 IPsec / IKE 策略为我工作。
Azure 端默认 IPSSec/IKO 参数记录如下:https://learn.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-about-vpn-devices#ipsec. 除非 OP 配置了自己的 IPSec/IKE 策略,否则 strongswan 端的三元组必须与默认值匹配。
解决该问题的一种方法是在两侧配置相同的配置。
文档链接到 RFC,但 IANA 网站有更好的从 DHGroups 到关键字的映射:https://docs.strongswan.org/docs/5.9/config/IKEv2CipherSuites.html#_diffie_hellman_groups
- OP 当前的 esp 配置与默认配置不匹配。
- 如果 Azure 网关是响应者,第五行应该有效
- 如果 Azure 网关是发起方,则第四行应该有效
下一步:
- 尝试建议的配置
- 从 Azure 端发布配置:IPSec/IKE 策略,VPN 类型:路由或基于策略
- 如果适用,请仔细检查流量选择器:https://learn.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-ipsecikepolicy-rm-powershell#part-2---supported-cryptographic-algorithms--key-strengths
- 日志中的错误消息