Я пытаюсь подключиться к Cisco ASA 5520. Мне предоставили учетные данные:
Phase1
VPN IP address (Public IP) | XXX.XXX.XXX.XXX
Authentication Method | Pre-Shared Secret
Encryption Schema | IKE
Perfect Forward Secrecy- IKE | DH Group-2
Encryption Algorithm | 3DES
Hashing Algorithm | SHA-1
Renegotiate IKE SA every | 86400 Sec
Phase2
IPSec | ESP
Perfect Forward Secrecy-IPSEC | NO PFS
Encryption Algorithm IPSec | 3DES
Hashing Algorithm IPSec | SHA-1
Renegotiate IPSec SA every | 3600 Sec
Private Network | 192.168.XXX.XXX/32
Со своей стороны, я скомпилировал и установил Libreswan (3.27) в капле DigitalOcean с общедоступной IP: YYY.YYY.YYY.YYY и частный IP: 10.YYY.YYY.YYY / 32 . Я попытался реализовать IPSec VPN со следующей конфигурацией:
conn the_vpn
ike=3des-sha1;modp1024,aes128-sha1;modp1024
auto=start
authby=secret
keyexchange=ike
phase2=esp
phase2alg=3des-sha1
left=XXX.XXX.XXX.XXX
leftsubnet=192.168.XXX.XXX/32
right=YYY.YYY.YYY.YYY
rightsubnet=10.YYY.YYY.YYY/32
ikelifetime=3600
type=tunnel
ikev2=never
И я разрешил udp
на порте 500
и 4500
на моем сервере (Ubuntu 16.04). Я также записал секретный ключ в /etc/ipsec.secrets
. Но через логи; кажется, что рукопожатие инициализируется CISCO, но на моей стороне такая ошибка:
пакет из XXX.XXX.XXX.XXX:500: начальное сообщение основного режима получено в YYY.YYY.YYY.YYY: 500, но нет соединение было авторизовано с политикой PSK + IKEV1_ALLOW
Мой вопрос таков:
1) Libreswan по-прежнему разрешает IKEV1 с общей группой PSK и DH 2 или он устарел и удален?
2) Мои конфигурации отражать другую сторону? Потому что, как обычно,Это я должен соответствовать их настройкам, они ничего не могут изменить.
Спасибо.
Поддержка DH2 удалена. Для IKEv1 минимум DH5. Для IKEv2 минимальное значение - DH14
. См. Также RFC 8247, в котором DH2 объявлен как НЕ ДОЛЖЕН реализовываться. (примечание - лучше спросите в лебедином списке в следующий раз, чтобы получить более быстрый ответ)