Это ошибка, которую я получаю в мониторе трафика на моем брандмауэре. У меня Watchguard X510
, и я вообще не могу заставить ipsec
работать.
2018-07-12 10:46:19 iked (12. *. *. * <-> 10.30.30.146) отбрасывает полученное сообщение IKEv2 от 10.30.30.146:55402 - reason = "ike2_CheckParsePayload_KE: получил неподдерживаемый KE group (24) или неправильный размер данных KE (получено = 256, ожидалось = 0) "
Полезная нагрузка KE (Key Exchange) содержит общедоступный фактор DH (Diffie-Hellman) однорангового узла и группу DH. Группа 24 (2048-битная группа MODP с 256-битной подгруппой основного порядка) определена в RFC 5114 и может быть не так широко реализована. Группа вместе с другими, определенными в этом RFC, также больше не рекомендуется для использования с IKEv2 в соответствии с RFC 8247 .
Правильное поведение для реализации при получении полезной нагрузки KE с неподдерживаемой группой DH: ответить уведомлением INVALID_KE_PAYLOAD
, содержащим альтернативную и предпочтительную группу, с которой инициатор должен попытаться подключиться снова. Если это не так, то реализация ошибочна.
В любом случае, чтобы исправить проблему, вам нужно настроить обычно поддерживаемую группу DH на каждом конце.