Вопросы Теги

Некорректная полезная нагрузка, полученная от брандмауэра Juniper в libreswan при настройке туннеля IPSec

У меня есть система CentOS с libreswan за маршрутизатор со статическим IP, и я пытался настроить туннель IPSec с сервером в удаленном месте с брандмауэром можжевельника. Настройки IPSec VPN на удаленном сервере выполняются через брандмауэр. Я уже перепробовал почти все возможные комбинации настроек, но каждый раз встречается одна и та же ошибка «искаженная полезная нагрузка». Ниже приводится обычный журнал, отображаемый на экране оболочки CentOS: 

002 "GeojitOMS" #6: initiating Main Mode
104 "GeojitOMS" #6: STATE_MAIN_I1: initiate
003 "GeojitOMS" #6: ignoring unknown Vendor ID payload [2c9d7e81995b9967d23f571ac641f9348122f1cc1200000014060000]
003 "GeojitOMS" #6: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
003 "GeojitOMS" #6: received Vendor ID payload [Dead Peer Detection]
003 "GeojitOMS" #6: ignoring Vendor ID payload [HeartBeat Notify 386b0100]
002 "GeojitOMS" #6: enabling possible NAT-traversal with method draft-ietf-ipsec-nat-t-ike-02/03
002 "GeojitOMS" #6: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2
106 "GeojitOMS" #6: STATE_MAIN_I2: sent MI2, expecting MR2
003 "GeojitOMS" #6: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03 sender port 500: I am behind NAT+peer behind NAT
002 "GeojitOMS" #6: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3
108 "GeojitOMS" #6: STATE_MAIN_I3: sent MI3, expecting MR3
003 "GeojitOMS" #6: next payload type of ISAKMP Hash Payload has an unknown value: 210 (0xd2)
003 "GeojitOMS" #6: malformed payload in packet
010 "GeojitOMS" #6: STATE_MAIN_I3: retransmission; will wait 500ms for response
010 "GeojitOMS" #6: STATE_MAIN_I3: retransmission; will wait 1000ms for response
010 "GeojitOMS" #6: STATE_MAIN_I3: retransmission; will wait 2000ms for response
010 "GeojitOMS" #6: STATE_MAIN_I3: retransmission; will wait 4000ms for response
003 "GeojitOMS" #6: discarding duplicate packet; already STATE_MAIN_I3

Попробовав все комбинации настроек в libreswan, мне интересно, связано ли это с тем, что версия на самой CentOS несовместима с можжевельником. Это версия libreswan и ядра: 

[root@localhost xyz]# rpm -qa libreswan
libreswan-3.15-5.el7_1.x86_64
[root@localhost xyz]# uname -r
3.10.0-327.4.5.el7.x86_64

Порт 500 и 4500 UDP открыты на CentOS iptables. Также разрешен весь восходящий и нисходящий трафик на маршрутизаторе Beetel для портов. Вот моя последняя настройка подключения, которая все еще не работает:

Моя локальная подсеть: 10.0.0.0/24

Удаленная подсеть: 192.168.11.0/28

Предполагается, что VPN соединяет локальную машину с два поля в удаленной подсети, а именно 192.168.11.11 и 192.168.11.12, которые, я думаю, настроены через подсеть, если в libreswan нет способа упомянуть такие два конкретных сервера в одном соединении. Файл /etc/ipsec.d/connection.conf:[1256 visibleSecrets /etc/ipsec.secrets: 1.2.3.4 1.2.3.5: PSK "sharedkey"

Испытываются различные комбинации переменных в 'conn' вместе с включением отключения 'nat_traversal'. Но независимо от того, какая комбинация используется, я все равно получаю ту же ошибку. Что-то отсутствует в этих настройках или есть проблема совместимости между можжевельником и libreswan или конкретной версией libreswan?

0
задан 18 February 2016 в 14:49
1 ответ

Я нашел полезную документацию libreswan здесь , касающуюся взаимодействия с Juniper.

Я чувствую вашу боль. Известно, что VPN очень сложно получить только . Даже самая маленькая вещь может сделать соединение нестабильным и / или бесполезным. Таким образом, я не могу точно определить , какая настройка, которую вы разместили выше, неверна или отсутствует, поэтому я прокомментирую несколько строк, которые могут вызывать проблемы.

phase2 = esp phase2alg = 3des-sha1 # pfs = no

Я безуспешно пытался указать их, даже если они были правильными - соединение так и не удалось. Когда я разрешил автоматическое согласование этих значений, это волшебным образом сработало.

compress = yes

Сжатие не должно быть включено , а не , потому что это уязвимость системы безопасности.

Для справки, я успешно добился этого. туннель libreswan <--> Juniper со следующей (обфусцированной) конфигурацией. В этой конфигурации верно следующее:

  1. left == local (libreswan) и right == remote (juniper).
  2. OS - CentOS 7.2
  3. пакет libreswan - libreswan-3.15-5.el7_1 .x86_64
  4. Локальный libreswan находится за NAT. Статус NAT в Juniper неизвестен.
  5. Единственная дополнительная информация по Juniper, которую я получил:
    • Предварительный общий ключ
    • Фаза 1 == "pre-gp2-aes256-sha-24h"
    • Фаза 2 == "g2-esp-aes128-sha"
  6. nat_traversal = yes в /etc/ipsec.conf

Файл конфигурации: 

conn MyConnection
        ike=aes256-sha1;modp1024
        esp=aes128-sha1
        authby=secret
        keyingtries=0

        left=10.111.111.111
        leftsourceip=10.111.111.111
        leftsubnet=10.111.111.0/24

        right=1.2.3.4
        rightsubnet=10.222.222.0/24
        rightnexthop=%defaultroute

        compress=no
        auto=start
1
ответ дан 4 December 2019 в 16:41

Теги

Похожие вопросы