我正在尝试连接到 Cisco ASA 5520。我已获得凭证:
Phase1
VPN IP address (Public IP) | XXX.XXX.XXX.XXX
Authentication Method | Pre-Shared Secret
Encryption Schema | IKE
Perfect Forward Secrecy- IKE | DH Group-2
Encryption Algorithm | 3DES
Hashing Algorithm | SHA-1
Renegotiate IKE SA every | 86400 Sec
Phase2
IPSec | ESP
Perfect Forward Secrecy-IPSEC | NO PFS
Encryption Algorithm IPSec | 3DES
Hashing Algorithm IPSec | SHA-1
Renegotiate IPSec SA every | 3600 Sec
Private Network | 192.168.XXX.XXX/32
在我这边,我在 DigitalOcean droplet 上编译并安装了 Libreswan (3.27),并公开IP :YYY.YYY.YYY.YYY以及私人IP:10.YYY.YYY.YYY/32。我尝试用这个配置实现IPSec VPN:
conn the_vpn
ike=3des-sha1;modp1024,aes128-sha1;modp1024
auto=start
authby=secret
keyexchange=ike
phase2=esp
phase2alg=3des-sha1
left=XXX.XXX.XXX.XXX
leftsubnet=192.168.XXX.XXX/32
right=YYY.YYY.YYY.YYY
rightsubnet=10.YYY.YYY.YYY/32
ikelifetime=3600
type=tunnel
ikev2=never
我确实在我的服务器(Ubuntu 16.04)上允许了udp端口500和4500。我还在中记下了密钥/etc/ipsec.secrets。但通过日志;似乎握手是由CISCO初始化的,但我这边出现了这个错误:
packet from XXX.XXX.XXX.XXX:500 : initial Main Mode message received on YYY.YYY.YYY.YYY:500 but no connection has been authorized with policy PSK+IKEV1_ALLOW
我的问题是:
1) Libreswan 是否仍然允许使用共享 PSK 和 DH 2 组的 IKEV1,或者它已被弃用并删除?
2) 我的配置是否反映了另一方?因为,像往常一样,我必须遵守他们的设置,他们不能改变任何东西。
谢谢。
答案1
已删除 DH2 支持。对于 IKEv1,最低为 DH5。对于 IKEv2,最低为 DH14
另请参阅 RFC 8247,其中声明 DH2 不得实施。(注意 - 下次最好在天鹅列表上询问以获得更快的回复)