普富思在 2.2 版本中从浣熊到坚强的天鹅。
自此更改以来,用户无法再从 Android 客户端连接到 VPN(类型IPSec 扩展身份验证密钥)。
目前Android上的配置如下:
|_. 姓名 | _[不相关]_ | |_. 类型 | IPSec Auth PSK | |_. 服务器地址 | $THE_PFSENSE_IP | |_. IPSec 标识符 | the.identifier | |_. IPSec 预共享密钥 | 3yZuE7kLFGqOj79hRAqM3vQpPWC7DRlY6ep8hfoVtkZWVqNd8C3W | |_. DNS 搜索域 | _[(未使用}]_ | |_. DNS 服务器 | _[(未使用}]_ | |_. 转发路由 | _$LOCAL_IP/32_ |
pfSense 上的当前配置如下:
- IPSec > 隧道 =启用 IPSec
第一阶段:移动客户端
一般信息
|_. 已禁用 | _[取消设置]_ | |_. 密钥交换版本 | _V1_ | |_. 互联网协议 | _IPv4_ | |_. 接口 | WAN | |_. 描述 | _[不相关]_ |
第一阶段提案(身份验证)
|_. 认证方法 | _Mutual PSK + Xauth_ | |_. 谈判模式 | _积极_ | |_. 我的标识符 | _我的 IP 地址 | |_. 对等标识符 | _可分辨名称_ _the.identifier_ | |_. 预共享密钥 | 3yZuE7kLFGqOj79hRAqM3vQpPWC7DRlY6ep8hfoVtkZWVqNd8C3W |
第一阶段提案(算法)
|_. 加密算法 | _AES_ _256 位_ | |_. 哈希算法 | _SHA1_ | |_. DH密钥组 | _2 (1024位)_| |_. 寿命 | _28800_ 秒 |
高级选项
|_. 禁用重新密钥 | _[unset]_ | |_. 仅限响应者 | _[取消设置]_ | |_. NAT 遍历 | _自动_ | |_. 死亡对等体检测 | _[启用]_ _10_ 秒,_5_ 次重试 |
第二阶段:移动客户端
|_. 已禁用 | _[取消设置]_ | |_. 模式 | _隧道 IPv4_ | |_. 本地网络 | *类型:*_地址_ *地址:*_$LOCAL_IP_ *NAT:*_[无/空]_ | |_. 描述 | _[不相关]_ |
第 2 阶段提案(SA/密钥交换)
|_. 协议 | _ESP_ | |_. 加密算法 | _AES_ _auto_ *only* | |_. 哈希算法 | _SHA1_ *仅* | |_. PFS 键组 | _off_ | |_. 寿命 | _3600_ _秒_ |
高级选项
|_. 自动 ping 主机 | _[空]_ |
pfSense 上的日志输出
IPSec 日志(启动)
3 月 23 日 02:10:43 ipsec_starter[88815]: 正在启动weakSwan 5.2.1 IPsec [starter]... 3 月 23 日 02:10:43 ipsec_starter[88815]: 未检测到 netkey IPsec 堆栈 3 月 23 日 02:10:43 ipsec_starter[88815]: 未检测到 KLIPS IPsec 堆栈 3 月 23 日 02:10:43 ipsec_starter[88815]: 未检测到已知的 IPsec 堆栈,忽略! 3 月 23 日 02:10:43 charon:00[DMN] 启动 IKE charon 守护进程(strongSwan 5.2.1、FreeBSD 10.1-RELEASE-p6、i386) 3 月 23 日 02:10:44 charon:00[KNL] 无法设置 UDP_ENCAP:参数无效 3 月 23 日 02:10:44 charon: 00[NET] 在端口 4500 上启用 IPv6 的 UDP 解封装失败 3 月 23 日 02:10:44 charon: 00[CFG] ipseckey 插件已禁用 3 月 23 日 02:10:44 charon:00[CFG] 从 '/var/etc/ipsec/ipsec.d/cacerts' 加载 ca 证书 3 月 23 日 02:10:44 charon:00[CFG] 从 '/var/etc/ipsec/ipsec.d/cacerts/a85fc367.0.crt' 加载 ca 证书“$CERT1_INFO” 3 月 23 日 02:10:44 charon:00[CFG] 从 '/var/etc/ipsec/ipsec.d/cacerts/5eb84096.0.crt' 加载 ca 证书“$CERT2_INFO” 3 月 23 日 02:10:44 charon:00[CFG] 从 '/var/etc/ipsec/ipsec.d/cacerts/16eb0859.0.crt' 加载 ca 证书“$CERT3_INFO” 3 月 23 日 02:10:44 charon:00[CFG] 从 '/var/etc/ipsec/ipsec.d/cacerts/e06d03ef.0.crt' 加载了 ca 证书“$CERT4_INFO” 3 月 23 日 02:10:44 charon:00[CFG] 从 '/var/etc/ipsec/ipsec.d/cacerts/01c1b386.0.crt' 加载 ca 证书“$CERT5_INFO” 3 月 23 日 02:10:44 charon:00[CFG] 从 '/var/etc/ipsec/ipsec.d/aacerts' 加载 aa 证书 3 月 23 日 02:10:44 charon:00[CFG] 从 '/var/etc/ipsec/ipsec.d/ocspcerts' 加载 ocsp 签名者证书 3 月 23 日 02:10:44 charon:00[CFG] 从 '/var/etc/ipsec/ipsec.d/acerts' 加载属性证书 3 月 23 日 02:10:44 charon:00[CFG] 从 '/var/etc/ipsec/ipsec.d/crls' 加载 crls 3 月 23 日 02:10:44 charon:00[CFG] 从 '/var/etc/ipsec/ipsec.secrets' 加载机密 3 月 23 日 02:10:44 charon: 00[CFG] 已为 $PFSENSE_IP the.identifier 加载 IKE 密钥 3 月 23 日 02:10:44 charon:00[CFG] 已为 %any the.identifier 加载 IKE 密钥 3 月 23 日 02:10:44 charon:00[CFG] 打开三元组文件 /var/etc/ipsec/ipsec.d/triplets.dat 失败:没有此文件或目录 3 月 23 日 02:10:44 charon:00[CFG] 已加载 0 个 RADIUS 服务器配置 3 月 23 日 02:10:44 charon:00[LIB] 已加载插件:charon unbound aes des blowfish rc2 sha1 sha2 md4 md5 random nonce x509 撤销约束 pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey ipseckey pem openssl fips-prf gmp xcbc cmac hmac curl attr kernel-pfkey kernel-pfroute resolve socket-default stroke smp updown eap-identity eap-sim eap-aka eap-aka-3gpp2 eap-md5 eap-mschapv2 eap-dynamic eap-radius eap-tls eap-ttls eap-peap xauth-generic xauth-eap whitelist addrblock unity 3 月 23 日 02:10:44 charon:00[LIB] 无法加载 6 个插件功能(其中 5 个由于未满足依赖关系) 3 月 23 日 02:10:44 charon: 00[JOB] 生成 16 个工作线程 3 月 23 日 02:10:44 ipsec_starter[89411]: charon (89559) 于 600 毫秒后启动 3 月 23 日 02:10:44 charon:06[CFG] 收到笔划:添加连接“con1” 3月23日 02:10:44 charon: 06[CFG] 添加虚拟IP地址池192.168.97.0/24 3 月 23 日 02:10:44 charon:06[CFG] 添加配置“con1” 3月23日 02:11:02 charon: 06[CFG] 重读秘密 3 月 23 日 02:11:02 charon:06[CFG] 从 '/var/etc/ipsec/ipsec.secrets' 加载机密 3 月 23 日 02:11:02 charon: 06[CFG] 已为 $PFSENSE_IP the.identifier 加载 IKE 密钥 3 月 23 日 02:11:02 charon:06[CFG] 已为 %any the.identifier 加载 IKE 密钥 3 月 23 日 02:11:02 charon:06[CFG] 从 '/var/etc/ipsec/ipsec.d/cacerts' 重新读取 ca 证书 3 月 23 日 02:11:02 charon:06[CFG] 从 '/var/etc/ipsec/ipsec.d/cacerts/a85fc367.0.crt' 加载 ca 证书“$CERT1_INFO” 3 月 23 日 02:11:02 charon:06[CFG] 从 '/var/etc/ipsec/ipsec.d/cacerts/5eb84096.0.crt' 加载了 ca 证书“$CERT2_INFO” 3 月 23 日 02:11:02 charon:06[CFG] 从 '/var/etc/ipsec/ipsec.d/cacerts/16eb0859.0.crt' 加载了 ca 证书“$CERT3_INFO” 3 月 23 日 02:11:02 charon:06[CFG] 从 '/var/etc/ipsec/ipsec.d/cacerts/e06d03ef.0.crt' 加载了 ca 证书“$CERT4_INFO” 3 月 23 日 02:11:02 charon:06[CFG] 从 '/var/etc/ipsec/ipsec.d/cacerts/01c1b386.0.crt' 加载了 ca 证书“$CERT5_INFO” 3 月 23 日 02:11:02 charon:06[CFG] 从 '/var/etc/ipsec/ipsec.d/ocspcerts' 重新读取 ocsp 签名者证书 3 月 23 日 02:11:02 charon:06[CFG] 从 '/var/etc/ipsec/ipsec.d/aacerts' 重新读取 aa 证书 3 月 23 日 02:11:02 charon:06[CFG] 从 '/var/etc/ipsec/ipsec.d/acerts' 重新读取属性证书 3 月 23 日 02:11:02 charon:06[CFG] 从 '/var/etc/ipsec/ipsec.d/crls' 重新读取 crls
IPSec 日志(连接)
3 月 23 日 02:13:50 charon: 14[ENC] 解析了 AGGRESSIVE 请求 0 [ SA KE No ID VVVVVVVV ] 3月23日 02:13:50 charon: 14[IKE] 收到 FRAGMENTATION 供应商 ID 3月23日 02:13:50 charon: 14[IKE] 收到 FRAGMENTATION 供应商 ID 3月23日 02:13:50 charon: 14[IKE] 收到 NAT-T (RFC 3947) 供应商 ID 3月23日 02:13:50 charon: 14[IKE] 收到 NAT-T (RFC 3947) 供应商 ID 3月23日 02:13:50 charon: 14[IKE] 收到 draft-ietf-ipsec-nat-t-ike-02 供应商 ID 3月23日 02:13:50 charon: 14[IKE] 收到 draft-ietf-ipsec-nat-t-ike-02 供应商 ID 3 月 23 日 02:13:50 charon:14[IKE] 收到 draft-ietf-ipsec-nat-t-ike-02\n 供应商 ID 3 月 23 日 02:13:50 charon:14[IKE] 收到 draft-ietf-ipsec-nat-t-ike-02\n 供应商 ID 3月23日 02:13:50 charon: 14[IKE] 收到 draft-ietf-ipsec-nat-t-ike-00 供应商 ID 3月23日 02:13:50 charon: 14[IKE] 收到 draft-ietf-ipsec-nat-t-ike-00 供应商 ID 3 月 23 日 02:13:50 charon: 14[IKE] 收到 XAuth 供应商 ID 3 月 23 日 02:13:50 charon: 14[IKE] 收到 XAuth 供应商 ID 3月23日 02:13:50 charon: 14[IKE] 收到 Cisco Unity 供应商 ID 3月23日 02:13:50 charon: 14[IKE] 收到 Cisco Unity 供应商 ID 3月23日 02:13:50 charon: 14[IKE] 收到 DPD 供应商 ID 3月23日 02:13:50 charon: 14[IKE] 收到 DPD 供应商 ID 3 月 23 日 02:13:50 charon: 14[IKE] $REMOTE_IP 正在启动积极模式 IKE_SA 3 月 23 日 02:13:50 charon: 14[IKE] $REMOTE_IP 正在启动积极模式 IKE_SA 3 月 23 日 02:13:50 charon:14[CFG] 正在查找与 $PFSENSE_IP...$REMOTE_IP[the.identifier] 匹配的 XAuthInitPSK 对等配置 3月23日 02:13:50 charon: 14[CFG] 选定对等配置“con1” 3 月 23 日 02:13:50 charon: 14[ENC] 生成 AGGRESSIVE 响应 0 [ SA KE No ID NAT-D NAT-D HASH VVVVV ] 3 月 23 日 02:13:50 charon: 14[NET] 发送数据包:从 $PFSENSE_IP[500] 到 $REMOTE_IP[500] (432 字节) 3 月 23 日 02:13:52 charon: 14[NET] 收到数据包: 从 $REMOTE_IP[500] 到 $PFSENSE_IP[500] (646 字节) 3月23日 02:13:52 charon: 14[IKE] 收到 ID 为 0 的请求重传,正在重传响应 3月23日 02:13:52 charon: 14[IKE] 收到 ID 为 0 的请求重传,正在重传响应 3 月 23 日 02:13:52 charon: 14[NET] 发送数据包:从 $PFSENSE_IP[500] 到 $REMOTE_IP[500] (432 字节) 3 月 23 日 02:13:54 charon: 14[IKE] 发送响应消息 ID 0、序列号 1 的重传 1 3 月 23 日 02:13:54 charon: 14[IKE] 发送响应消息 ID 0、序列号 1 的重传 1 3 月 23 日 02:13:54 charon: 14[NET] 发送数据包:从 $PFSENSE_IP[500] 到 $REMOTE_IP[500] (432 字节) 3 月 23 日 02:13:55 charon: 14[NET] 收到数据包: 从 $REMOTE_IP[500] 到 $PFSENSE_IP[500] (646 字节) 3月23日 02:13:55 charon: 14[IKE] 收到 ID 为 0 的请求重传,正在重传响应 3月23日 02:13:55 charon: 14[IKE] 收到 ID 为 0 的请求重传,正在重传响应 3 月 23 日 02:13:55 charon: 14[NET] 发送数据包:从 $PFSENSE_IP[500] 到 $REMOTE_IP[500] (432 字节) 3 月 23 日 02:13:59 charon: 14[NET] 收到数据包: 从 $REMOTE_IP[500] 到 $PFSENSE_IP[500] (646 字节) 3月23日 02:13:59 charon: 14[IKE] 收到 ID 为 0 的请求重传,正在重传响应 3月23日 02:13:59 charon: 14[IKE] 收到 ID 为 0 的请求重传,正在重传响应 3 月 23 日 02:13:59 charon: 14[NET] 发送数据包:从 $PFSENSE_IP[500] 到 $REMOTE_IP[500] (432 字节) 3 月 23 日 02:14:01 charon: 14[IKE] 正在发送响应消息 ID 0、序列号 1 的重传 2 3 月 23 日 02:14:01 charon: 14[IKE] 正在发送响应消息 ID 0、序列号 1 的重传 2 3 月 23 日 02:14:01 charon: 14[NET] 发送数据包:从 $PFSENSE_IP[500] 到 $REMOTE_IP[500] (432 字节) 3 月 23 日 02:14:01 charon: 14[NET] 收到数据包: 从 $REMOTE_IP[500] 到 $PFSENSE_IP[500] (646 字节) 3月23日 02:14:01 charon: 14[IKE] 收到 ID 为 0 的请求重传,正在重传响应 3月23日 02:14:01 charon: 14[IKE] 收到 ID 为 0 的请求重传,正在重传响应 3 月 23 日 02:14:01 charon: 14[NET] 发送数据包:从 $PFSENSE_IP[500] 到 $REMOTE_IP[500] (432 字节) 3 月 23 日 02:14:05 charon: 16[NET] 接收数据包: 从 $REMOTE_IP[500] 到 $PFSENSE_IP[500] (646 字节) 3月23日 02:14:05 charon: 16[IKE] 收到 ID 为 0 的请求重传,正在重传响应 3月23日 02:14:05 charon: 16[IKE] 收到 ID 为 0 的请求重传,正在重传响应 3 月 23 日 02:14:05 charon: 16[NET] 发送数据包:从 $PFSENSE_IP[500] 到 $REMOTE_IP[500] (432 字节) 3 月 23 日 02:14:07 charon: 16[NET] 接收数据包: 从 $REMOTE_IP[500] 到 $PFSENSE_IP[500] (646 字节) 3月23日 02:14:07 charon: 16[IKE] 收到 ID 为 0 的请求重传,正在重传响应 3月23日 02:14:07 charon: 16[IKE] 收到 ID 为 0 的请求重传,正在重传响应 3 月 23 日 02:14:07 charon: 16[NET] 发送数据包:从 $PFSENSE_IP[500] 到 $REMOTE_IP[500] (432 字节) 3 月 23 日 02:14:11 charon: 16[NET] 接收数据包: 从 $REMOTE_IP[500] 到 $PFSENSE_IP[500] (646 字节) 3月23日 02:14:11 charon: 16[IKE] 收到 ID 为 0 的请求重传,正在重传响应 3月23日 02:14:11 charon: 16[IKE] 收到 ID 为 0 的请求重传,正在重传响应 3 月 23 日 02:14:11 charon: 16[NET] 发送数据包:从 $PFSENSE_IP[500] 到 $REMOTE_IP[500] (432 字节) 3 月 23 日 02:14:13 charon: 16[NET] 接收数据包: 从 $REMOTE_IP[500] 到 $PFSENSE_IP[500] (646 字节) 3月23日 02:14:13 charon: 16[IKE] 收到 ID 为 0 的请求重传,正在重传响应 3月23日 02:14:13 charon: 16[IKE] 收到 ID 为 0 的请求重传,正在重传响应 3 月 23 日 02:14:13 charon: 16[NET] 发送数据包:从 $PFSENSE_IP[500] 到 $REMOTE_IP[500] (432 字节) 3 月 23 日 02:14:14 charon: 16[IKE] 发送响应消息 ID 0、序列号 1 的重传 3 3 月 23 日 02:14:14 charon: 16[IKE] 发送响应消息 ID 0、序列号 1 的重传 3 3 月 23 日 02:14:14 charon: 16[NET] 发送数据包:从 $PFSENSE_IP[500] 到 $REMOTE_IP[500] (432 字节) 3 月 23 日 02:14:16 charon:16[NET] 接收数据包:从 $REMOTE_IP[500] 到 $PFSENSE_IP[500] (646 字节) 3月23日 02:14:16 charon: 16[IKE] 收到 ID 为 0 的请求重传,正在重传响应 3月23日 02:14:16 charon: 16[IKE] 收到 ID 为 0 的请求重传,正在重传响应 3 月 23 日 02:14:16 charon: 16[NET] 发送数据包:从 $PFSENSE_IP[500] 到 $REMOTE_IP[500] (432 字节) 3 月 23 日 02:14:20 charon:16[JOB] 超时后删除半开 IKE_SA
连接失败的原因可能有哪些以及如何解决?
答案1
我也遇到了同样的问题。
根据这个[IKEv1 无法从 Android 的默认 VPN 客户端连接],当前的 Android VPN IKEv1 客户端存在一个 bug,如果选择了激进模式并且使用“IPsec 标识符”来配置 Android 客户端,就会发生这种 bug。
解决办法是清除这“IPsec 标识符”从 Android 客户端进入第一阶段提案谈判模式应该是主要的。
在我的设置中,第一阶段提案(身份验证):身份验证方法是相互 PSK + Xauth而不只是 Mutual PSK。