我正在使用 Debian Stretch,这是当前的测试版本。前段时间我使用 IPsec 设置了 VPN 连接,并且工作正常。它突然停了下来。在此期间,某些软件包可能已升级(openssl
或strongswan
其他),但我不确定如何使其再次工作。
错误信息是:
freyja@araguaney:~$ sudo ipsec up flow
initiating Main Mode IKE_SA flow[1] to XXX.XXX.XXX.XXX
generating ID_PROT request 0 [ SA V V V V ]
sending packet: from XXX.XXX.XXX.XXX[500] to XXX.XXX.XXX.XXX[500] (216 bytes)
received packet: from XXX.XXX.XXX.XXX[500] to XXX.XXX.XXX.XXX[500] (40 bytes)
parsed INFORMATIONAL_V1 request 1195290638 [ N(NO_PROP) ]
received NO_PROPOSAL_CHOSEN error notify
establishing connection 'flow' failed
看来我的客户无法使用建议的算法(因此NO_PROPOSAL_CHOSEN
)。我向我们的管理员询问服务器日志中出现的错误,它说:
IKE: Main Mode Failed to match proposal: Transform: AES-128, SHA1, Group
2 (1024 bit) Reason: unsupported hash algorithm -1
他还列出了服务器提供的算法。我添加了ike
参数来强制使用一种可能的组合:
/etc/ipsec.conf:
conn flow
...
leftfirewall=yes
ike=aes128-sha1-modp1024
...
当我使用它时,连接日志更长,但也以失败结束:。
...
reached self-signed root ca with a path length of 0
authentication of 'XXX.XXX.XXX.XXX' with RSA_EMSA_PKCS1_NULL successful
IKE_SA flow[1] established between XXX.XXX.XXX.XXX[O=csc..puejse, OU=users, CN=freyja]...XXX.XXX.XXX.XXX[XXX.XXX.XXX.XXX]
scheduling reauthentication in 3292s
maximum IKE_SA lifetime 3472s
generating TRANSACTION request 3626856411 [ HASH CPRQ(ADDR DNS) ]
sending packet: from XXX.XXX.XXX.XXX[4500] to XXX.XXX.XXX.XXX[4500] (76 bytes)
received packet: from XXX.XXX.XXX.XXX[4500] to XXX.XXX.XXX.XXX[4500] (92 bytes)
parsed TRANSACTION response 3626856411 [ HASH CPRP(ADDR DNS DNS) ]
installing DNS server XXX.XXX.XXX.XXX to /etc/resolv.conf
installing DNS server XXX.XXX.XXX.XXX to /etc/resolv.conf
installing new virtual IP XXX.XXX.XXX.XXX
generating QUICK_MODE request 2757640703 [ HASH SA No ID ID ]
sending packet: from XXX.XXX.XXX.XXX[4500] to XXX.XXX.XXX.XXX[4500] (204 bytes)
received packet: from XXX.XXX.XXX.XXX[4500] to XXX.XXX.XXX.XXX[4500] (252 bytes)
parsed INFORMATIONAL_V1 request 2437352460 [ HASH N(NO_PROP) ]
received NO_PROPOSAL_CHOSEN error notify
establishing connection 'flow' failed
同样,有一些关于哈希函数的信息。我检查使用ipsec listalgs
服务器建议的哈希函数是否受支持。所以我不知道如何继续。
我尝试降级 openssl,删除了当前软件包(1.0.2h)并安装了 Ubuntu 一个(1.0.2.d——该连接适用于我的同事在他使用此软件包的 Ubuntu 上)。这没有帮助。
我认为我的系统 SSL 功能有问题,因为我也无法与曾经工作的邮件服务器进行协商。但我不知道如何调试它并恢复这些功能。 (这些都是我的疯狂猜测,因为我不是高级用户)。请帮忙。
答案1
StrongSwan 使用的 IKE 和 ESP 默认提议5.4.0 已更改。
对于 IKEv2,IKE 和 ESP 提案基本相同,只是算法的顺序发生了变化。但是,对于 IKEv1,仅发送默认提议的每种转换类型的第一个算法,这意味着不再提议 SHA-1。
就像您更改了 IKE 提案一样艾克设置您必须通过指定来使用自定义 ESP 建议特别是:
esp=aes128-sha1