pfSense/strongSwan“超时后删除半开的 IKE_SA” - Android 4.4 到 pfSense 2.2.1 的 IPSec 连接失败

pfSense/strongSwan“超时后删除半开的 IKE_SA” - Android 4.4 到 pfSense 2.2.1 的 IPSec 连接失败

普富思在 2.2 版本中从浣熊坚强的天鹅

自此更改以来,用户无法再从 Android 客户端连接到 VPN(类型IPSec 扩展身份验证密钥)。


目前Android上的配置如下:

|_. 姓名 | _[不相关]_ |
|_. 类型 | IPSec Auth PSK |
|_. 服务器地址 | $THE_PFSENSE_IP |
|_. IPSec 标识符 | the.identifier |
|_. IPSec 预共享密钥 | 3yZuE7kLFGqOj79hRAqM3vQpPWC7DRlY6ep8hfoVtkZWVqNd8C3W |
|_. DNS 搜索域 | _[(未使用}]_ |
|_. DNS 服务器 | _[(未使用}]_ |
|_. 转发路由 | _$LOCAL_IP/32_ |

pfSense 上的当前配置如下:

  • IPSec > 隧道 =启用 IPSec

第一阶段:移动客户端

一般信息

|_. 已禁用 | _[取消设置]_ |
|_. 密钥交换版本 | _V1_ |
|_. 互联网协议 | _IPv4_ |
|_. 接口 | WAN |
|_. 描述 | _[不相关]_ |

第一阶段提案(身份验证)

|_. 认证方法 | _Mutual PSK + Xauth_ |
|_. 谈判模式 | _积极_ |
|_. 我的标识符 | _我的 IP 地址 |
|_. 对等标识符 | _可分辨名称_ _the.identifier_ |
|_. 预共享密钥 | 3yZuE7kLFGqOj79hRAqM3vQpPWC7DRlY6ep8hfoVtkZWVqNd8C3W |

第一阶段提案(算法)

|_. 加密算法 | _AES_ _256 位_ |
|_. 哈希算法 | _SHA1_ |
|_. DH密钥组 | _2 (1024位)_|
|_. 寿命 | _28800_ 秒 |

高级选项

|_. 禁用重新密钥 | _[unset]_ |
|_. 仅限响应者 | _[取消设置]_ |
|_. NAT 遍历 | _自动_ |
|_. 死亡对等体检测 | _[启用]_ _10_ 秒,_5_ 次重试 |

第二阶段:移动客户端

|_. 已禁用 | _[取消设置]_ |
|_. 模式 | _隧道 IPv4_ |
|_. 本地网络 | *类型:*_地址_ *地址:*_$LOCAL_IP_ *NAT:*_[无/空]_ |
|_. 描述 | _[不相关]_ |

第 2 阶段提案(SA/密钥交换)

|_. 协议 | _ESP_ |
|_. 加密算法 | _AES_ _auto_ *only* |
|_. 哈希算法 | _SHA1_ *仅* |
|_. PFS 键组 | _off_ |
|_. 寿命 | _3600_ _秒_ |

高级选项

|_. 自动 ping 主机 | _[空]_ |

pfSense 上的日志输出

IPSec 日志(启动)

 
3 月 23 日 02:10:43 ipsec_starter[88815]: 正在启动weakSwan 5.2.1 IPsec [starter]...
3 月 23 日 02:10:43 ipsec_starter[88815]: 未检测到 netkey IPsec 堆栈
3 月 23 日 02:10:43 ipsec_starter[88815]: 未检测到 KLIPS IPsec 堆栈
3 月 23 日 02:10:43 ipsec_starter[88815]: 未检测到已知的 IPsec 堆栈,忽略!
3 月 23 日 02:10:43 charon:00[DMN] 启动 IKE charon 守护进程(strongSwan 5.2.1、FreeBSD 10.1-RELEASE-p6、i386)
3 月 23 日 02:10:44 charon:00[KNL] 无法设置 UDP_ENCAP:参数无效
3 月 23 日 02:10:44 charon: 00[NET] 在端口 4500 上启用 IPv6 的 UDP 解封装失败
3 月 23 日 02:10:44 charon: 00[CFG] ipseckey 插件已禁用
3 月 23 日 02:10:44 charon:00[CFG] 从 '/var/etc/ipsec/ipsec.d/cacerts' 加载 ca 证书
3 月 23 日 02:10:44 charon:00[CFG] 从 '/var/etc/ipsec/ipsec.d/cacerts/a85fc367.0.crt' 加载 ca 证书“$CERT1_INFO”
3 月 23 日 02:10:44 charon:00[CFG] 从 '/var/etc/ipsec/ipsec.d/cacerts/5eb84096.0.crt' 加载 ca 证书“$CERT2_INFO”
3 月 23 日 02:10:44 charon:00[CFG] 从 '/var/etc/ipsec/ipsec.d/cacerts/16eb0859.0.crt' 加载 ca 证书“$CERT3_INFO”
3 月 23 日 02:10:44 charon:00[CFG] 从 '/var/etc/ipsec/ipsec.d/cacerts/e06d03ef.0.crt' 加载了 ca 证书“$CERT4_INFO”
3 月 23 日 02:10:44 charon:00[CFG] 从 '/var/etc/ipsec/ipsec.d/cacerts/01c1b386.0.crt' 加载 ca 证书“$CERT5_INFO”
3 月 23 日 02:10:44 charon:00[CFG] 从 '/var/etc/ipsec/ipsec.d/aacerts' 加载 aa 证书
3 月 23 日 02:10:44 charon:00[CFG] 从 '/var/etc/ipsec/ipsec.d/ocspcerts' 加载 ocsp 签名者证书
3 月 23 日 02:10:44 charon:00[CFG] 从 '/var/etc/ipsec/ipsec.d/acerts' 加载属性证书
3 月 23 日 02:10:44 charon:00[CFG] 从 '/var/etc/ipsec/ipsec.d/crls' 加载 crls
3 月 23 日 02:10:44 charon:00[CFG] 从 '/var/etc/ipsec/ipsec.secrets' 加载机密
3 月 23 日 02:10:44 charon: 00[CFG] 已为 $PFSENSE_IP the.identifier 加载 IKE 密钥
3 月 23 日 02:10:44 charon:00[CFG] 已为 %any the.identifier 加载 IKE 密钥
3 月 23 日 02:10:44 charon:00[CFG] 打开三元组文件 /var/etc/ipsec/ipsec.d/triplets.dat 失败:没有此文件或目录
3 月 23 日 02:10:44 charon:00[CFG] 已加载 0 个 RADIUS 服务器配置
3 月 23 日 02:10:44 charon:00[LIB] 已加载插件:charon unbound aes des blowfish rc2 sha1 sha2 md4 md5 random nonce x509 撤销约束 pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey ipseckey pem openssl fips-prf gmp xcbc cmac hmac curl attr kernel-pfkey kernel-pfroute resolve socket-default stroke smp updown eap-identity eap-sim eap-aka eap-aka-3gpp2 eap-md5 eap-mschapv2 eap-dynamic eap-radius eap-tls eap-ttls eap-peap xauth-generic xauth-eap whitelist addrblock unity
3 月 23 日 02:10:44 charon:00[LIB] 无法加载 6 个插件功能(其中 5 个由于未满足依赖关系)
3 月 23 日 02:10:44 charon: 00[JOB] 生成 16 个工作线程
3 月 23 日 02:10:44 ipsec_starter[89411]: charon (89559) 于 600 毫秒后启动
3 月 23 日 02:10:44 charon:06[CFG] 收到笔划:添加连接“con1”
3月23日 02:10:44 charon: 06[CFG] 添加虚拟IP地址池192.168.97.0/24
3 月 23 日 02:10:44 charon:06[CFG] 添加配置“con1”
3月23日 02:11:02 charon: 06[CFG] 重读秘密
3 月 23 日 02:11:02 charon:06[CFG] 从 '/var/etc/ipsec/ipsec.secrets' 加载机密
3 月 23 日 02:11:02 charon: 06[CFG] 已为 $PFSENSE_IP the.identifier 加载 IKE 密钥
3 月 23 日 02:11:02 charon:06[CFG] 已为 %any the.identifier 加载 IKE 密钥
3 月 23 日 02:11:02 charon:06[CFG] 从 '/var/etc/ipsec/ipsec.d/cacerts' 重新读取 ca 证书
3 月 23 日 02:11:02 charon:06[CFG] 从 '/var/etc/ipsec/ipsec.d/cacerts/a85fc367.0.crt' 加载 ca 证书“$CERT1_INFO”
3 月 23 日 02:11:02 charon:06[CFG] 从 '/var/etc/ipsec/ipsec.d/cacerts/5eb84096.0.crt' 加载了 ca 证书“$CERT2_INFO”
3 月 23 日 02:11:02 charon:06[CFG] 从 '/var/etc/ipsec/ipsec.d/cacerts/16eb0859.0.crt' 加载了 ca 证书“$CERT3_INFO”
3 月 23 日 02:11:02 charon:06[CFG] 从 '/var/etc/ipsec/ipsec.d/cacerts/e06d03ef.0.crt' 加载了 ca 证书“$CERT4_INFO”
3 月 23 日 02:11:02 charon:06[CFG] 从 '/var/etc/ipsec/ipsec.d/cacerts/01c1b386.0.crt' 加载了 ca 证书“$CERT5_INFO”
3 月 23 日 02:11:02 charon:06[CFG] 从 '/var/etc/ipsec/ipsec.d/ocspcerts' 重新读取 ocsp 签名者证书
3 月 23 日 02:11:02 charon:06[CFG] 从 '/var/etc/ipsec/ipsec.d/aacerts' 重新读取 aa 证书
3 月 23 日 02:11:02 charon:06[CFG] 从 '/var/etc/ipsec/ipsec.d/acerts' 重新读取属性证书
3 月 23 日 02:11:02 charon:06[CFG] 从 '/var/etc/ipsec/ipsec.d/crls' 重新读取 crls

IPSec 日志(连接)

3 月 23 日 02:13:50 charon: 14[ENC] 解析了 AGGRESSIVE 请求 0 [ SA KE No ID VVVVVVVV ]
3月23日 02:13:50 charon: 14[IKE] 收到 FRAGMENTATION 供应商 ID
3月23日 02:13:50 charon: 14[IKE] 收到 FRAGMENTATION 供应商 ID
3月23日 02:13:50 charon: 14[IKE] 收到 NAT-T (RFC 3947) 供应商 ID
3月23日 02:13:50 charon: 14[IKE] 收到 NAT-T (RFC 3947) 供应商 ID
3月23日 02:13:50 charon: 14[IKE] 收到 draft-ietf-ipsec-nat-t-ike-02 供应商 ID
3月23日 02:13:50 charon: 14[IKE] 收到 draft-ietf-ipsec-nat-t-ike-02 供应商 ID
3 月 23 日 02:13:50 charon:14[IKE] 收到 draft-ietf-ipsec-nat-t-ike-02\n 供应商 ID
3 月 23 日 02:13:50 charon:14[IKE] 收到 draft-ietf-ipsec-nat-t-ike-02\n 供应商 ID
3月23日 02:13:50 charon: 14[IKE] 收到 draft-ietf-ipsec-nat-t-ike-00 供应商 ID
3月23日 02:13:50 charon: 14[IKE] 收到 draft-ietf-ipsec-nat-t-ike-00 供应商 ID
3 月 23 日 02:13:50 charon: 14[IKE] 收到 XAuth 供应商 ID
3 月 23 日 02:13:50 charon: 14[IKE] 收到 XAuth 供应商 ID
3月23日 02:13:50 charon: 14[IKE] 收到 Cisco Unity 供应商 ID
3月23日 02:13:50 charon: 14[IKE] 收到 Cisco Unity 供应商 ID
3月23日 02:13:50 charon: 14[IKE] 收到 DPD 供应商 ID
3月23日 02:13:50 charon: 14[IKE] 收到 DPD 供应商 ID
3 月 23 日 02:13:50 charon: 14[IKE] $REMOTE_IP 正在启动积极模式 IKE_SA
3 月 23 日 02:13:50 charon: 14[IKE] $REMOTE_IP 正在启动积极模式 IKE_SA
3 月 23 日 02:13:50 charon:14[CFG] 正在查找与 $PFSENSE_IP...$REMOTE_IP[the.identifier] 匹配的 XAuthInitPSK 对等配置
3月23日 02:13:50 charon: 14[CFG] 选定对等配置“con1”
3 月 23 日 02:13:50 charon: 14[ENC] 生成 AGGRESSIVE 响应 0 [ SA KE No ID NAT-D NAT-D HASH VVVVV ]
3 月 23 日 02:13:50 charon: 14[NET] 发送数据包:从 $PFSENSE_IP[500] 到 $REMOTE_IP[500] (432 字节)
3 月 23 日 02:13:52 charon: 14[NET] 收到数据包: 从 $REMOTE_IP[500] 到 $PFSENSE_IP[500] (646 字节)
3月23日 02:13:52 charon: 14[IKE] 收到 ID 为 0 的请求重传,正在重传响应
3月23日 02:13:52 charon: 14[IKE] 收到 ID 为 0 的请求重传,正在重传响应
3 月 23 日 02:13:52 charon: 14[NET] 发送数据包:从 $PFSENSE_IP[500] 到 $REMOTE_IP[500] (432 字节)
3 月 23 日 02:13:54 charon: 14[IKE] 发送响应消息 ID 0、序列号 1 的重传 1
3 月 23 日 02:13:54 charon: 14[IKE] 发送响应消息 ID 0、序列号 1 的重传 1
3 月 23 日 02:13:54 charon: 14[NET] 发送数据包:从 $PFSENSE_IP[500] 到 $REMOTE_IP[500] (432 字节)
3 月 23 日 02:13:55 charon: 14[NET] 收到数据包: 从 $REMOTE_IP[500] 到 $PFSENSE_IP[500] (646 字节)
3月23日 02:13:55 charon: 14[IKE] 收到 ID 为 0 的请求重传,正在重传响应
3月23日 02:13:55 charon: 14[IKE] 收到 ID 为 0 的请求重传,正在重传响应
3 月 23 日 02:13:55 charon: 14[NET] 发送数据包:从 $PFSENSE_IP[500] 到 $REMOTE_IP[500] (432 字节)
3 月 23 日 02:13:59 charon: 14[NET] 收到数据包: 从 $REMOTE_IP[500] 到 $PFSENSE_IP[500] (646 字节)
3月23日 02:13:59 charon: 14[IKE] 收到 ID 为 0 的请求重传,正在重传响应
3月23日 02:13:59 charon: 14[IKE] 收到 ID 为 0 的请求重传,正在重传响应
3 月 23 日 02:13:59 charon: 14[NET] 发送数据包:从 $PFSENSE_IP[500] 到 $REMOTE_IP[500] (432 字节)
3 月 23 日 02:14:01 charon: 14[IKE] 正在发送响应消息 ID 0、序列号 1 的重传 2
3 月 23 日 02:14:01 charon: 14[IKE] 正在发送响应消息 ID 0、序列号 1 的重传 2
3 月 23 日 02:14:01 charon: 14[NET] 发送数据包:从 $PFSENSE_IP[500] 到 $REMOTE_IP[500] (432 字节)
3 月 23 日 02:14:01 charon: 14[NET] 收到数据包: 从 $REMOTE_IP[500] 到 $PFSENSE_IP[500] (646 字节)
3月23日 02:14:01 charon: 14[IKE] 收到 ID 为 0 的请求重传,正在重传响应
3月23日 02:14:01 charon: 14[IKE] 收到 ID 为 0 的请求重传,正在重传响应
3 月 23 日 02:14:01 charon: 14[NET] 发送数据包:从 $PFSENSE_IP[500] 到 $REMOTE_IP[500] (432 字节)
3 月 23 日 02:14:05 charon: 16[NET] 接收数据包: 从 $REMOTE_IP[500] 到 $PFSENSE_IP[500] (646 字节)
3月23日 02:14:05 charon: 16[IKE] 收到 ID 为 0 的请求重传,正在重传响应
3月23日 02:14:05 charon: 16[IKE] 收到 ID 为 0 的请求重传,正在重传响应
3 月 23 日 02:14:05 charon: 16[NET] 发送数据包:从 $PFSENSE_IP[500] 到 $REMOTE_IP[500] (432 字节)
3 月 23 日 02:14:07 charon: 16[NET] 接收数据包: 从 $REMOTE_IP[500] 到 $PFSENSE_IP[500] (646 字节)
3月23日 02:14:07 charon: 16[IKE] 收到 ID 为 0 的请求重传,正在重传响应
3月23日 02:14:07 charon: 16[IKE] 收到 ID 为 0 的请求重传,正在重传响应
3 月 23 日 02:14:07 charon: 16[NET] 发送数据包:从 $PFSENSE_IP[500] 到 $REMOTE_IP[500] (432 字节)
3 月 23 日 02:14:11 charon: 16[NET] 接收数据包: 从 $REMOTE_IP[500] 到 $PFSENSE_IP[500] (646 字节)
3月23日 02:14:11 charon: 16[IKE] 收到 ID 为 0 的请求重传,正在重传响应
3月23日 02:14:11 charon: 16[IKE] 收到 ID 为 0 的请求重传,正在重传响应
3 月 23 日 02:14:11 charon: 16[NET] 发送数据包:从 $PFSENSE_IP[500] 到 $REMOTE_IP[500] (432 字节)
3 月 23 日 02:14:13 charon: 16[NET] 接收数据包: 从 $REMOTE_IP[500] 到 $PFSENSE_IP[500] (646 字节)
3月23日 02:14:13 charon: 16[IKE] 收到 ID 为 0 的请求重传,正在重传响应
3月23日 02:14:13 charon: 16[IKE] 收到 ID 为 0 的请求重传,正在重传响应
3 月 23 日 02:14:13 charon: 16[NET] 发送数据包:从 $PFSENSE_IP[500] 到 $REMOTE_IP[500] (432 字节)
3 月 23 日 02:14:14 charon: 16[IKE] 发送响应消息 ID 0、序列号 1 的重传 3
3 月 23 日 02:14:14 charon: 16[IKE] 发送响应消息 ID 0、序列号 1 的重传 3
3 月 23 日 02:14:14 charon: 16[NET] 发送数据包:从 $PFSENSE_IP[500] 到 $REMOTE_IP[500] (432 字节)
3 月 23 日 02:14:16 charon:16[NET] 接收数据包:从 $REMOTE_IP[500] 到 $PFSENSE_IP[500] (646 字节)
3月23日 02:14:16 charon: 16[IKE] 收到 ID 为 0 的请求重传,正在重传响应
3月23日 02:14:16 charon: 16[IKE] 收到 ID 为 0 的请求重传,正在重传响应
3 月 23 日 02:14:16 charon: 16[NET] 发送数据包:从 $PFSENSE_IP[500] 到 $REMOTE_IP[500] (432 字节)
3 月 23 日 02:14:20 charon:16[JOB] 超时后删除半开 IKE_SA

连接失败的原因可能有哪些以及如何解决?

答案1

我也遇到了同样的问题。

根据这个[IKEv1 无法从 Android 的默认 VPN 客户端连接],当前的 Android VPN IKEv1 客户端存在一个 bug,如果选择了激进模式并且使用“IPsec 标识符”来配置 Android 客户端,就会发生这种 bug。

解决办法是清除“IPsec 标识符”从 Android 客户端进入第一阶段提案谈判模式应该是主要的

在我的设置中,第一阶段提案(身份验证):身份验证方法相互 PSK + Xauth而不只是 Mutual PSK。

相关内容