私は現在ベータ版のDebian Stretchを使用しています。しばらく前にIPsecを使用してVPN接続を確立しましたが、正常に動作しました。突然停止しました。その間、一部のパッケージがアップグレードされた可能性がありopenssl
ますが、再び機能させる方法strongswan
はわかりません。
エラーメッセージは次のとおりです。
freyja@araguaney:~$ sudo ipsec up flow
initiating Main Mode IKE_SA flow[1] to XXX.XXX.XXX.XXX
generating ID_PROT request 0 [ SA V V V V ]
sending packet: from XXX.XXX.XXX.XXX[500] to XXX.XXX.XXX.XXX[500] (216 bytes)
received packet: from XXX.XXX.XXX.XXX[500] to XXX.XXX.XXX.XXX[500] (40 bytes)
parsed INFORMATIONAL_V1 request 1195290638 [ N(NO_PROP) ]
received NO_PROPOSAL_CHOSEN error notify
establishing connection 'flow' failed
私のクライアントは提案されたアルゴリズムを使用できないようです(so NO_PROPOSAL_CHOSEN
)。サーバーログに表示されたエラーについて管理者に尋ね、次のように言いました。
IKE: Main Mode Failed to match proposal: Transform: AES-128, SHA1, Group
2 (1024 bit) Reason: unsupported hash algorithm -1
彼はまたサーバーによって提供されるアルゴリズムをリストします。ike
1つの可能な組み合わせを強制するためにパラメータを追加しました。
/etc/ipsec.conf:
conn flow
...
leftfirewall=yes
ike=aes128-sha1-modp1024
...
使用すると、接続ログが長くなりますが、失敗で終わります。
...
reached self-signed root ca with a path length of 0
authentication of 'XXX.XXX.XXX.XXX' with RSA_EMSA_PKCS1_NULL successful
IKE_SA flow[1] established between XXX.XXX.XXX.XXX[O=csc..puejse, OU=users, CN=freyja]...XXX.XXX.XXX.XXX[XXX.XXX.XXX.XXX]
scheduling reauthentication in 3292s
maximum IKE_SA lifetime 3472s
generating TRANSACTION request 3626856411 [ HASH CPRQ(ADDR DNS) ]
sending packet: from XXX.XXX.XXX.XXX[4500] to XXX.XXX.XXX.XXX[4500] (76 bytes)
received packet: from XXX.XXX.XXX.XXX[4500] to XXX.XXX.XXX.XXX[4500] (92 bytes)
parsed TRANSACTION response 3626856411 [ HASH CPRP(ADDR DNS DNS) ]
installing DNS server XXX.XXX.XXX.XXX to /etc/resolv.conf
installing DNS server XXX.XXX.XXX.XXX to /etc/resolv.conf
installing new virtual IP XXX.XXX.XXX.XXX
generating QUICK_MODE request 2757640703 [ HASH SA No ID ID ]
sending packet: from XXX.XXX.XXX.XXX[4500] to XXX.XXX.XXX.XXX[4500] (204 bytes)
received packet: from XXX.XXX.XXX.XXX[4500] to XXX.XXX.XXX.XXX[4500] (252 bytes)
parsed INFORMATIONAL_V1 request 2437352460 [ HASH N(NO_PROP) ]
received NO_PROPOSAL_CHOSEN error notify
establishing connection 'flow' failed
今回もハッシュ関数に関するいくつかの情報があります。ipsec listalgs
サーバーが提案するハッシュ関数の使用がサポートされていることを確認してください。それで、どのように進むべきかわかりません。
私はopensslをダウングレードし、現在のパッケージ(1.0.2h)を削除し、Ubuntuパッケージ(1.0.2.d - このパッケージを使用してUbuntuで同僚の接続が機能する)をインストールしてみました。これは役に立ちません。
私のシステムのSSL機能に問題があるようです。以前に作業していたメールサーバーとも交渉できないからです。しかし、デバッグしてこれらの機能を復元する方法がわかりません。 (私は上級ユーザーではないので、これらはすべて私の推測です。)助けてください。
ベストアンサー1
StrongSwanで使用されるIKEとESPの基本提案5.4.0から変更。
IKEv2の場合、IKEとESPの提案は、アルゴリズムの順序が変更されたことを除いて、基本的に同じです。ただし、IKEv1では、デフォルトで提案されている各変換タイプの最初のアルゴリズムのみが送信されるため、SHA-1は推奨されなくなりました。
IKE提案を変更したかのようにアイク設定以下を指定して、カスタムESP推奨事項を使用する必要があります。特に:
esp=aes128-sha1