我是Ipsec/Ikev2概念的新手。我正在尝试使用强天鹅在Windows 10和SUSE SELES 12盒子之间创建Ipsec/IKEv2连接。
现在我还没有SUSE盒子的ipsec配置信息。但我可以告诉你我的观察和问题:
注意:我没有在ipsec.conf文件中提供IKE和ESP值,我正在使用PSK进行身份验证。
-
当我在SUSE机器的ipsec.conf中保留keyexchange=ike的值时。SUSE一直在发送数据包发送到Windows,但未得到响应。
-
我将值更改为keyexchange=IKEv1,现在SUSE正在将数据包发送到Windows框并获取回复。但得到的错误如下:
2020-10-15T13.25:09.153507+03:00 ct99 charon:13[NET]发送数据包:从3.213.176.114[500]到3.213.176.129[500](172字节(2020-10-15T13.25:09.1553663+03:00 ct99 charon:14[NET]收到的数据包:从3.213.176.129[500]到3.213.176.114[500](56字节(2020-10-15T13.25:09153819+03:00 ct99 charon:14[ENC]解析INFORMATIONAL_V1请求2363509334[N(NO_PROP(]2020-10-15T13.25:09153977+03:00 ct99 charon:14[IKE]收到NO_PROPOSAL_CHOSEN错误通知
-
Windows 10配置信息:
主模式加密集信息:
建议书:{0:加密:AES128:哈希:SHA1:密钥交换:DH14}
QuickModeCryptoSet:
建议书:{0:封装:ESP:EspHash:SHA1:加密:AES128:最大生存时间千字节:100000:最大生存时间分钟数:60}
你能帮我理解为什么我必须设置keyexchange=IKEV1的值,因为根据我的理解,即使值设置为IKE,它也应该工作。
以及日志中的另一个错误。我试图为ike和esp设置可能的倍数值,但它仍然没有抛出相同的错误。请帮我解决这个问题。
提前感谢你!
在我的案例中,错误NO_PROPOSAL_CHOSEN是由Windows 10在默认情况下只提出弱密码引起的。自Strongswan版本5.6以来,Strongswane默认情况下不启用弱密码。
更强的密码可以在Windows 10中通过注册表使用具有以下内容的regfile启用:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasManParameters]
"NegotiateDH2048_AES256"=dword:00000001