发布Libreswan 3.27的IKEV1 :没有使用策略PSK+IKEV1_ALLOW授权连接

Question

我正试着连接思科ASA 5520。已向我提供全权证书：

Phase1
VPN IP address (Public IP)       | XXX.XXX.XXX.XXX
Authentication Method            | Pre-Shared Secret
Encryption Schema                | IKE
Perfect Forward Secrecy- IKE     | DH Group-2
Encryption Algorithm             | 3DES
Hashing Algorithm                | SHA-1
Renegotiate IKE SA every         | 86400 Sec

Phase2
IPSec                            | ESP
Perfect Forward Secrecy-IPSEC    | NO PFS
Encryption Algorithm IPSec       | 3DES
Hashing Algorithm IPSec          | SHA-1
Renegotiate IPSec SA every       | 3600 Sec  
Private Network                  | 192.168.XXX.XXX/32

在我这方面，我在一个DigitalOcean液滴上编译并安装了Libreswan (3.27)，使用的是公共IP: YYY.YYY和私有IP :10.YY.YY.YYY/32。我尝试使用以下配置实现IPSec VPN：

conn the_vpn
  ike=3des-sha1;modp1024,aes128-sha1;modp1024
  auto=start
  authby=secret
  keyexchange=ike
  phase2=esp
  phase2alg=3des-sha1
  left=XXX.XXX.XXX.XXX
  leftsubnet=192.168.XXX.XXX/32
  right=YYY.YYY.YYY.YYY
  rightsubnet=10.YYY.YYY.YYY/32
  ikelifetime=3600
  type=tunnel
  ikev2=never

我确实允许udp在我的服务器上的端口500和4500 (Ubuntu16.04)。我还在/etc/ipsec.secrets中写下了秘密密钥。但是通过日志，握手似乎是由CISCO初始化的，但是我这边有以下错误：

packet from XXX.XXX.XXX.XXX:500 : initial Main Mode message received on YYY.YYY.YYY.YYY:500 but no connection has been authorized with policy PSK+IKEV1_ALLOW

我的问题是：

( 1) Libreswan是否仍然允许共享PSK和DH 2组的IKEV1，还是已被废弃和删除？

2)我的配置是否反映了另一面？因为，和往常一样，是我必须服从他们的安排，他们不能改变任何事情。

谢谢。

Answer 1

DH2支持已被删除。对于IKEv1，最小值是DH5。对于IKEv2，最小值是DH14

另请参见RFC 8247，其中声明DH2不可实现。(注意:下次最好在天鹅名单上询问，以获得更快的响应)