Назад | Перейти на главную страницу

Клиент Algo VPN strongSwan «сертификат эмитента не найден»

Я установил экземпляр Algo VPN на AWS Lightsail с помощью официального руководства по Ansible. Я могу установить VPN-соединение с помощью Wireguard, но не могу заставить его работать с strongSwan.

Я настроил два разных клиента Ubuntu в соответствии с этими официальными инструкциями: https://github.com/trailofbits/algo/blob/master/docs/client-linux-ipsec.md

Я всегда получаю сообщение об ошибке «Сертификат эмитента для« CN = »не найден, даже если я предоставил открытый ключ сервера в /etc/ipsec.d/cacerts. Этот сертификат кажется самоподписанным.

$ cat /etc/ipsec.d/cacerts/cacert.pem

-----BEGIN CERTIFICATE----- <...> -----END CERTIFICATE-----

$ ipsec listcacerts

<no output>

Вот что произошло, когда я попытался запустить туннель:

$ ipsec up algovpn-35.180.123.456
initiating IKE_SA algovpn-35.180.123.456[1] to 35.180.123.456
generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
sending packet: from 192.168.5.196[500] to 35.180.123.456[500] (294 bytes)
received packet: from 35.180.123.456[500] to 192.168.5.196[500] (319 bytes)
parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]
selected proposal: IKE:AES_GCM_16_256/PRF_HMAC_SHA2_512/ECP_384
local host is behind NAT, sending keep alives
remote host is behind NAT
received 1 cert requests for an unknown ca
authentication of 'CN=remote1' (myself) with ECDSA_WITH_SHA384_DER successful
sending end entity cert "CN=remote1"
establishing CHILD_SA algovpn-35.180.123.456{1}
generating IKE_AUTH request 1 [ IDi CERT N(INIT_CONTACT) IDr AUTH CPRQ(ADDR DNS) SA TSi TSr N(MOBIKE_SUP) N(ADD_4_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
sending packet: from 192.168.5.196[4500] to 35.180.123.456[4500] (973 bytes)
received packet: from 35.180.123.456[4500] to 192.168.5.196[4500] (883 bytes)
parsed IKE_AUTH response 1 [ IDr CERT AUTH CPRP(ADDR DNS) SA TSi TSr N(MOBIKE_SUP) N(ADD_4_ADDR) ]
received end entity cert "CN=35.180.123.456"
using certificate "CN=35.180.123.456"
no issuer certificate found for "CN=35.180.123.456"
issuer is "CN=35.180.123.456"
no trusted ECDSA public key found for '35.180.123.456'
generating INFORMATIONAL request 2 [ N(AUTH_FAILED) ]
sending packet: from 192.168.5.196[4500] to 35.180.123.456[4500] (65 bytes)
establishing connection 'algovpn-35.180.123.456' failed

Кто-нибудь знает, как я могу заставить это работать?

С уважением,

Йона

Только сертификаты ЦС автоматически загружаются из /etc/ipsec.d/cacerts (сертификаты с базовым набором ограничений CA), сертификаты конечных объектов / серверов отсутствуют (если только вы не инсульт плагин, чтобы сделать это через ignore_missing_ca_basic_constraint вариант, но я бы не рекомендовал это делать).

Если вы хотите использовать (самоподписанный) сертификат сервера напрямую, поместите его в /etc/ipsec.d/certs и загрузите его через rightcert вариант в вашем разделе conn.

В конечном итоге это сводится к несовместимости между тем, как алгоритм настраивает сертификат CA и strongswan. Видеть https://github.com/trailofbits/algo/issues/1758 для обходного пути.