Назад | Перейти на главную страницу

Как правильно отправить идентификатор респондента при настройке VPN-соединения PSK IKEv2 с помощью Strongswan?

Я пытаюсь настроить IKEv2 Site-to-Site PSK vpn с устаревшим Strongswan

/etc/ipsec.conf

config setup
    charondebug="all"
    uniqueids=no
    strictcrlpolicy=no
conn ikev2-vpn
    auto=add
    dpdaction=restart
    compress=no
    type=tunnel
    keyexchange=ikev2
    rekey=no
    authby=secret
    leftauth=psk
    left=<PRIVATE_IP>
    leftid=<PUBLIC_IP>
    leftsubnet=<OUR_SUBNET>
    rightauth=psk
    right=<THEIR_PUBLIC_IP>
    rightid=<THEIR_PUBLIC_IP>
    rightsubnet=<THEIR_SUBNET>

Я дошел до сбоя идентификации респондента, который на удаленной стороне является сервером контрольной точки, который выдает ошибку «Обмен аутентификацией: отправка уведомления одноранговому узлу: селекторы трафика неприемлемы»

root@hostname:/home/sarajarjoura# ipsec up ikev2-vpn
initiating IKE_SA ikev2-vpn[1] to <THEIR_PUBLIC_IP>
generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
sending packet: from <PRIVATE_IP>[500] to <THEIR_PUBLIC_IP>[500] (464 bytes)
received packet: from <THEIR_PUBLIC_IP>[500] to <PRIVATE_IP>[500] (540 bytes)
parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_S_IP) N(NATD_S_IP) N(NATD_S_IP) N(NATD_S_IP) N(NATD_D_IP) N(CHDLESS_SUP) ]
local host is behind NAT, sending keep alives
authentication of '<PUBLIC_IP>' (myself) with pre-shared key
establishing CHILD_SA ikev2-vpn{1}
generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr AUTH SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
sending packet: from <PRIVATE_IP>[4500] to <THEIR_PUBLIC_IP>[4500] (272 bytes)
received packet: from <THEIR_PUBLIC_IP>[4500] to <PRIVATE_IP>[4500] (96 bytes)
parsed IKE_AUTH response 1 [ N(TS_UNACCEPT) N(TS_UNACCEPT) ]
IDr payload missing
generating INFORMATIONAL request 2 [ N(AUTH_FAILED) ]
sending packet: from <PRIVATE_IP>[4500] to <THEIR_PUBLIC_IP>[4500] (80 bytes)
establishing connection 'ikev2-vpn' failed

/etc/ipsec.secrets

<PUBLIC_IP> <THEIR_PUBLIC_IP> : PSK "<SUPER_STRONG_PSK>"

Как мне изменить файл conf для отправки личности респондента? Это первый раз, когда мне пришлось настраивать VPN-клиент, поэтому мои знания основаны на поиске в Google и попытке понять отрывки по теме IKEv2.

Ресурсы, которые я нашел и которые могут быть полезны для тех, кто застрял в той же проблеме:

IKE v2 https://tools.ietf.org/html/rfc7296

Устранение неполадок VPN https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/ipsec-troubleshooting.html

Настройка сайта на сайт с StrongSwan https://www.strongswan.org/testing/testresults/ikev2/net2net-psk/

Как настроить StrongSwan IKEv2 VPN с PSK (предварительный общий ключ)?

Между прочим, я пробовал это и с libreswan, и я не против переключения клиента. В то же время я тестировал это на сервере под моим контролем, и я считаю, что не за горами.