问题

tag-icon tag-icon networking vpn configuration openbsd ikev2
问题

我在 OpenBSD 节点上的多个数据中心之间设置高度安全但仍然高性能的 IKEv2 隧道时遇到问题,通过使用非常严格的安全功能并允许使用非常窄的加密算法窗口,如下面的配置文件所示。

为了调试目的,我设置了两个节点,如下所示:

# cat /etc/iked.conf                                                                      
local_gw="[LocalGatewayIPv4]"
local_subnet="10.1.11.0/18"

remote_gw="[RemoteGatewayIPv4]"
remote_subnet="10.1.11.64/18"

set fragmentation
set enforcesingleikesa
set nomobike

ikev2 'IKEv2 VPN' ipcomp esp \
  from $local_subnet to $remote_subnet
  from $remote_subnet to $local_subnet \
  local egress peer $remote_gw \
  ikesa \
    auth hmac-sha2-512 \
    enc aes-256 \
    prf hmac-sha2-512 \
    group curve25519 \
  psk "{a-debugging-only-psk-key-of-128-character-wide-alphanumeric-hash-with-decent-number-of-       punctuations-and-symbols}" \
  config protected-subnet 0.0.0.0/0 \
  config address 10.1.11.66 \ # it is *.65 on the other node
  config netmask 255.255.255.192 \
  tag "IKEv2"

我还进行了相应的设置/etc/hostname.enc0

inet 10.1.11.65 255.255.255.192 10.1.11.127 description "IKEv2 VPN Site #1 Subnet"
up

在另一个节点上:

inet 10.1.11.66 255.255.255.192 10.1.11.127 description "IKEv2 VPN Site #2 Subnet"
up

如下/etc/sysctl.conf所示:

# cat /etc/sysctl.conf                                                             
#########################################################
# General NAT                                           #
#########################################################

# Packet forwarding
net.inet.ip.forwarding=1


#########################################################
# VPN                                                   #
#########################################################

# Enable AH and ESP protocols for IKEv2
net.inet.ah.enable=1
net.inet.esp.enable=1

# Enable packet compression
net.inet.ipcomp.enable=1

问题

至于iked.conf 手册(如果我没有误解的话)OpenIKED 应该在配置文件中激活指定的选项,ikesa并禁用默认的: auth、enc、prf、group 的可能值以及默认提议在下面的 CRYPTO TRANSFORMS 中描述。如果省略,iked(8) 将使用 IKEv2 协议的默认提案。

但是当我iked -dv出于调试目的调用时,我收到以下输出:

# iked -dv               
ikev2 "IKEv2 VPN" passive ipcomp tunnel esp inet from 10.1.11.0/18 to 10.1.11.64/18 local
10.1.11.0/18 peer 10.1.11.64/18 ikesa enc aes-128-gcm,aes-256-gcm prf hmac-sha2-256,hmac-
sha2-384,hmac-sha2-512,hmac-sha1 group curve25519,ecp521,ecp384,ecp256,modp4096,modp3072,
modp2048,modp1536,modp1024 ikesa enc aes-256,aes-192,aes-128,3des prf hmac-sha2-256,hmac-
sha2-384,hmac-sha2-512,hmac-sha1 auth hmac-sha2-256,hmac-sha2-384,hmac-sha2-512,hmac-sha1
group curve25519,ecp521,ecp384,ecp256,modp4096,modp3072,modp2048,modp1536,modp1024 childsa
enc aes-128-gcm,aes-256-gcm esn,noesn childsa enc aes-256,aes-192,aes-128 auth hmac-sha2-
256,hmac-sha2-384,hmac-sha2-512,hmac-sha1 esn,noesn lifetime 10800 bytes 536870912 signature

换句话说,它不会删除默认设置。我也设置了set enforcesingleikesa,但就我而言,它被完全忽略了。

为什么会发生这种情况?

如果您能帮助我,我将永远对您心怀感激。

相关内容