IPSec在StrongSwan和Zyxel NSG200之间

Question

我正在尝试在Debian 10服务器与StrongSwan和Nebula NSG200之间启动一个StrongSwan连接(站点到站点)。

让我们假设：

• Debian服务器：
  • 公共知识产权: 50.50.50.45
  • 专用网络: 10.1.0.0/16

• 星云NSG200：
  • 公共知识产权: 100.100.100.123
  • 专用网络: 10.40.0.0/24

但是每次认证都失败了。我在debian的日志里收到了这些信息。

我不明白为什么认证失败了！

...
charon: 13[NET] received packet: from 100.100.100.123[500] to 50.50.50.45[500] (480 bytes)
charon: 13[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) V V V ]
charon: 13[ENC] received unknown vendor ID: xx:xx:xx:xx:xx:...
charon: 13[ENC] received unknown vendor ID: yy:yy:yy:yy:yy:...
charon: 13[ENC] received unknown vendor ID: zz:zz:zz:zz:zz:...
charon: 13[IKE] 100.100.100.123 is initiating an IKE_SA
charon: 13[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_1024
charon: 13[IKE] remote host is behind NAT
charon: 13[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(MULT_AUTH) ]
charon: 13[NET] sending packet: from 50.50.50.45[500] to 100.100.100.123[500] (312 bytes)
charon: 14[NET] received packet: from 100.100.100.123[4500] to 50.50.50.45[4500] (320 bytes)
charon: 14[ENC] parsed IKE_AUTH request 1 [ IDi CERTREQ AUTH SA TSi TSr N(HTTP_CERT_LOOK) N(INIT_CONTACT) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) ]
charon: 14[IKE] received 1 cert requests for an unknown ca
charon: 14[CFG] looking for peer configs matching 50.50.50.45[%any]...100.100.100.123[10.0.1.250]
charon: 14[CFG] no matching peer config found
charon: 14[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
charon: 14[ENC] generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
charon: 14[NET] sending packet: from 50.50.50.45[4500] to 100.100.100.123[4500] (96 bytes)
...

StrongSwan side

/etc/ipsec.conf：

config setup
        charondebug="all"
        uniqueids=yes
conn deb-to-neb
        type=tunnel
        auto=start
        keyexchange=ikev2
        authby=secret
        left=100.100.100.123
        leftsubnet=10.40.0.1/24
        right=50.50.50.45
        rightsubnet=10.1.0.1/16
        ike=aes256-sha512-modp1024!
        esp=aes256-sha512!
        aggressive=yes
        keyingtries=%forever
        ikelifetime=86400s
        lifetime=3600s
        dpdaction=restart

/etc/ipsec.secrets：

100.100.100.123 50.50.50.45 : PSK "MySuperSecret"
50.50.50.45 100.100.100.123 : PSK "MySuperSecret"

星云侧

屏状星云

• 第1阶段
  • IKE版本: IKEv2
  • 加密: AES256
  • 身份验证: SHA512
  • 迪夫-赫尔曼集团: DH2
  • 寿命(秒)：86400

• 第二阶段(第一组)
  • 加密: AES256
  • 身份验证: SHA512
  • DH2集团
  • 寿命(秒)：3600

Answer 1

这不是身份验证错误，问题是您的配置不匹配：

charon: 14[CFG] looking for peer configs matching 50.50.50.45[%any]...100.100.100.123[10.0.1.250]
charon: 14[CFG] no matching peer config found

尤其是远程身份。因为您没有配置rightid，所以它默认为远程IP地址(100.100.100.123)，但这与对等方发送的标识(10.0.1.250)不匹配。由于更改对等点上的标识似乎不是一个选项(基于该屏幕快照)，所以尝试配置rightid=10.0.1.250。

Answer 2

我已经开始工作了，但是由于某些原因，我不能从我的StrongSwan托管的地方打开我的Zyxel。我可以通过我的Zyxel网络向我的StrongSwan VPN客户/网络以及ping访问网络资源。我是不是遗漏了什么？请给我建议。