CHILD_SA не работает, так как предлагаемая группа PFS не настроена
Было бы неплохо, если бы кто-нибудь мог мне подсказать.
Введение
Итак, я хочу подключиться со своим клиентом Kubuntu 18.04.5 (NetworkManager - Strongswan / Charon) к моему серверу IPsec-IKEv2 (pfsense), который работает, но через некоторое время VPN-соединение теряется, и я для повторного подключения.
Подробности
Скорее всего, это следствие того, что на стороне сервера установлена группа ключей PFS на этапе 2, которую я установил на 20 (nist ecp384).
charon-nm: 09[ENC] parsed CREATE_CHILD_SA request 160 [ N(REKEY_SA) N(ESP_TFC_PAD_N) SA No KE TSi TSr ]
charon-nm: 09[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
charon-nm: 09[CFG] received proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/ECP_384/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_384_192/ECP_384/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_512_256/ECP_384/NO_EXT_SEQ, ESP:AES_CBC_256/AES_XCBC_96/ECP_384/NO_EXT_SEQ, ESP:AES_GCM_16_128/ECP_384/NO_EXT_SEQ, ESP:AES_GCM_16_256/ECP_384/NO_EXT_SEQ
charon-nm: 09[CFG] configured proposals: ESP:AES_CBC_128/AES_CBC_192/AES_CBC_256/HMAC_SHA2_256_128/HMAC_SHA2_384_192/HMAC_SHA2_512_256/HMAC_SHA1_96/AES_XCBC_96/NO_EXT_SEQ
charon-nm: 09[IKE] no acceptable proposal found
charon-nm: 09[IKE] failed to establish CHILD_SA, keeping IKE_SA
charon-nm: 09[ENC] generating CREATE_CHILD_SA response 160 [ N(NO_PROP) ]
Это, по всей видимости, похоже на группы DH на этапе 1.
Итак, согласно моему пониманию, после этих 160 CREATE_CHILD_SA запросов, которые сервер отправляет, но клиент отклоняет, сервер прерывает соединение.
Следовательно, NetworkManager закрывает соединение как vpn / tunnel отменяется на стороне сервера.
charon-nm: 01[ENC] parsed INFORMATIONAL request 161 [ D ]
charon-nm: 01[IKE] received DELETE for ESP CHILD_SA with SPI c20484b4
charon-nm: 01[IKE] closing CHILD_SA VPN_NAME{287} with SPIs cb865a87_i (47815624 bytes) c20484b4_o (6028589 bytes) and TS 10.1.3.1/32 === 0.0.0.0/0
charon-nm: 01[IKE] sending DELETE for ESP CHILD_SA with SPI cb865a87
charon-nm: 01[IKE] CHILD_SA closed
charon-nm: 01[ENC] generating INFORMATIONAL response 161 [ D ]
charon-nm: 01[NET] sending packet: from <clientIP>[49309] to <serverIP>[4500] (69 bytes)
charon-nm: 12[IKE] deleting IKE_SA VPN[3] between <clientIP>[<username>]...<serverIP>[<servername>]
charon-nm: 12[IKE] sending DELETE for IKE_SA VPN_NAME[3]
charon-nm: 12[ENC] generating INFORMATIONAL request 6 [ D ]
NetworkManager[947]: <warn> [1607267447.9875] vpn-connection[0x55fd637ce510,45f0ac29-9f8f-46d6-adbe-e9e10e0ec5e3,"VPN_NAME",0]: VPN plugin: failed: connect-failed (1)
charon-nm: 12[NET] sending packet: from <clientIP>[49309] to <serverIP>[4500] (65 bytes)
NetworkManager[947]: <info> [1607267447.9875] vpn-connection[0x55fd637ce510,45f0ac29-9f8f-46d6-adbe-e9e10e0ec5e3,"VPN_NAME",0]: VPN plugin: state changed: stopping (5)
NetworkManager[947]: <info> [1607267447.9876] vpn-connection[0x55fd637ce510,45f0ac29-9f8f-46d6-adbe-e9e10e0ec5e3,"VPN_NAME",0]: VPN plugin: state changed: stopped (6)
Поскольку существует много взаимосвязанных частей, я не уверен, где мне следует включить эту PFS group.
Насколько я понимаю, NetworkManager более или менее является интерфейсом между графическим интерфейсом пользователя для базовых пакетов ОС / программного обеспечения , также известного как. strongswan, который отвечает за IPsec и charon, который отвечает за IKEv2 keying .
- NetworkManager хранит информацию о своем соединении в / etc / NetworkManager / system-connections / VPN_Name
- strongswan использует конфигурацию, установленную в:
- /etc/ipsec.conf и
- , начиная с версии 4.2.1 в /etc/strongswan.conf
- , начиная с версии 5.1.2 он дополнительно использует * .conf файлы из каталога /etc/strongswan.d/
- и charon используют конфигурации, установленные в:
- /etc/strongswan/charon*.conf
- / etc / strongswan / charon / *. Conf
Так что, возможно, вы столкнулись с аналогичной проблемой с группами DH / PFS и могли бы сказать мне ( confused человек )где я должен указать, какую конфигурацию.
Обновление:
По предложению @ecdsa я изменил конфигурацию на раздел [vpn] файла / etc / NetworkManager / system-connections / VPN_Name :
proposal=yes
ike=aes256-sha256-ecp384
esp=aes256-sha256-ecp384
Похоже, что он работал нормально (какое-то время):
charon-nm: 06[ENC] parsed INFORMATIONAL request 19
charon-nm: 06[ENC] generating INFORMATIONAL response 19
, но, к сожалению, через некоторое время он перестал работать, и ранее упомянутая последовательность снова разорвала соединение.
charon-nm: 14[ENC] parsed CREATE_CHILD_SA request 20 [ N(REKEY_SA) N(ESP_TFC_PAD_N) SA No KE TSi TSr ]
charon-nm: 14[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
charon-nm: 14[CFG] received proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/ECP_384/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_384_192/ECP_384/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA2_512_256/ECP_384/NO_EXT_SEQ, ESP:AES_CBC_256/AES_XCBC_96/ECP_384/NO_EXT_SEQ, ESP:AES_GCM_16_128/ECP_384/NO_EXT_SEQ, ESP:AES_GCM_16_256/ECP_384/NO_EXT_SEQ
charon-nm: 14[CFG] configured proposals: ESP:AES_CBC_128/AES_CBC_192/AES_CBC_256/HMAC_SHA2_256_128/HMAC_SHA2_384_192/HMAC_SHA2_512_256/HMAC_SHA1_96/AES_XCBC_96/NO_EXT_SEQ
charon-nm: 14[IKE] no acceptable proposal found
charon-nm: 14[IKE] failed to establish CHILD_SA, keeping IKE_SA
charon-nm: 14[ENC] generating CREATE_CHILD_SA response 20 [ N(NO_PROP) ]
TL ; DR
Где вы настраиваете группу DH / PFS для IPSec IKEv2 в клиенте Kubuntu, использующем NetworkManager?