我正在使用 strongswan 连接到使用 IKEv2/IPsec 配置的 MAC 服务器。服务器使用建议的算法来建立 SA,一切运行良好。然而,在重新密钥时,服务器拒绝建议的算法并恢复到简单的 IKE 交换并建立 SA。在过去三周内,我已经阅读了大约二十个 RFC 以及大量其他文档来建立此连接。我不是网络工程师(只是个屠夫),我正在慢慢学习诀窍。我做错了什么?我是否提出了错误的算法?我使用连接日志来读取服务器期望建立和重新密钥的算法。我最近遇到了无法重新密钥的问题。我解决了这个问题,但现在又出现了这个问题。日志显示“未找到用于重新密钥的 ESP”。任何帮助都非常感谢!``
编辑:我找到了这个,但仍然需要更多信息。因为我知道它的意思,但不知道该怎么做 :/。
“IKE 重新密钥化使用 Diffie-Hellman 交换来刷新密钥材料,但不会重新检查相关凭证。它仅在 IKEv2 中受支持。”
我是否需要将算法更改为精确的 DH 交换?或者配置重新密钥本身?如果是,那么使用什么协议?或者配置重新检查凭证?我仍在研究。
编辑 #2 在对此主题进行一些研究后,我了解到 NATT 可能导致隧道重新密钥的许多问题。我个人对此没有控制权,您可能知道。是我的 ISP 导致这种情况发生,可能使 VPN 变得无用,还是只是很困难?我目前正在研究我的选择,但欢迎任何意见。谢谢。