Я использую Libreswan для создания туннелей IPSec между виртуальными машинами. Я использую сертификаты для аутентификации (для фазы 1 IPSec). Однако туннель IKE не устанавливается, и аутентификация не проходит.
Я пытался установить соединения IPSec между двумя локальными виртуальными машинами (установленными на моем Mac) с использованием сертификатов.
Я следовал за шагами, упомянутыми в этой ссылке (https://libreswan.org/wiki/HOWTO:_Using_NSS_with_libreswan#Configuring_certificates_in_ipsec.conf_and_ipsec.secrets)
Я создал центр сертификации на одном из компьютеров и создал сертификат пользователя, подписанный этим CA.
certutil -S -k rsa -n "MyCA" -s "CN=localhost.localdomain" -v 12
-t "CT,C,C" -x -d sql:/etc/ipsec.d
certutil -S -k rsa -c "MyCA" -n "user1" -s "CN=localhost.localdomain"
-v 12 -t "u,u,u" -d sql:/etc/ipsec.d'
Чтобы загрузить CA на другую машину, я экспортировал CA, используя
pk12util -o CACert.p12 -n MyCA -d sql:/etc/ipsec.d
Скопировал этот файл CACert.p12 на другой компьютер. Импортировал его в БД NSS.
ipsec import CACert.p12
certutil -M -n MyCA -t "CT,," -d sql:/etc/ipsec.d
Создан другой сертификат пользователя, подписанный тем же CA
certutil -S -k rsa -c "MyCA" -n "user2" -s "CN=localhost.localdomain"
-v 12 -t "u,u,u" -d sql:/etc/ipsec.d
Вот параметры конфигурации туннеля.
Machine 1:
conn mytunnel24
type=transport
left=192.168.244.132
leftrsasigkey=%cert
leftcert=user1
right=192.168.244.130
rightrsasigkey=%cert
# load and initiate automatically
auto=start
Machine 2:
conn mytunnel24
type=transport
left=192.168.244.130
leftrsasigkey=%cert
leftcert=user2
right=192.168.244.132
rightrsasigkey=%cert
# load and initiate automatically
auto=start
Я также пытался использовать FQDNS для левых и правых туннелей. Я получаю те же ошибки.
Ниже приведены ошибки: -
002 "mytunnel24" #5: initiating v2 parent SA
133 "mytunnel24" #5: initiate
133 "mytunnel24" #5: STATE_PARENT_I1: sent v2I1, expected v2R1
002 | constructed local ESP/AH proposals for mytunnel24 (IKE SA initiator emitting ESP/AH proposals): 1:ESP:ENCR=AES_GCM_C_256;INTEG=NONE;DH=NONE;ESN=DISABLED 2:ESP:ENCR=CHACHA20_POLY1305;INTEG=NONE;DH=NONE;ESN=DISABLED 3:ESP:ENCR=AES_CBC_256;INTEG=HMAC_SHA2_512_256,HMAC_SHA1_96,HMAC_SHA2_256_128;DH=NONE;ESN=DISABLED 4:ESP:ENCR=AES_GCM_C_128;INTEG=NONE;DH=NONE;ESN=DISABLED 5:ESP:ENCR=AES_CBC_128;INTEG=HMAC_SHA1_96,HMAC_SHA2_256_128;DH=NONE;ESN=DISABLED
134 "mytunnel24" #6: STATE_PARENT_I2: sent v2I2, expected v2R2 {auth=IKEv2 cipher=AES_GCM_16_256 integ=n/a prf=HMAC_SHA2_512 group=DH19}
002 "mytunnel24" #6: IKE SA authentication request rejected: AUTHENTICATION_FAILED
000 "mytunnel24" #6: scheduling retry attempt 1 of an unlimited number, but releasing whack