strongSwan IKEv2 + Windows 7 Agile VPN: 13801 এর ফলে ত্রুটি কী ঘটছে

আমার কাছে AWS উদাহরণ রয়েছে যে আমি ভিপিএন সার্ভার হতে চাই। এটি উইন্ডোজ 7 ক্লায়েন্টকে অ্যামাজন ক্লাউডের একটি ব্যক্তিগত নেটওয়ার্কের সাথে সংযুক্ত করবে।

• আমি উবুন্টু 12.04 এবং strongswan-ikev2প্যাকেজ ইনস্টল করেছি ।
• ipsec version রিপোর্ট Linux strongSwan U4.5.2/K3.2.0-52-virtual
• নোট করুন যে ক্লায়েন্ট এবং সার্ভার উভয়ই NAT এর পিছনে রয়েছে (ক্লায়েন্ট কারণ এটি স্থানীয় অফিসের নেটওয়ার্কে রয়েছে এবং সার্ভারটি এটি অ্যামাজনের মেঘে রয়েছে বলে)। আমি অ্যামাজন ড্যাশবোর্ড এবং ক্লায়েন্টের ফায়ারওয়াল উভয়তেই ইউডিপি পোর্টগুলি আনলক করেছি un

• এটি /etc/ipsec.conf:

  config setup
      plutostart=no
  
  conn %default
      keyexchange=ikev2
      ike=aes256-sha1-modp1024!
      esp=aes256-sha1!
      dpdaction=clear
      dpddelay=300s
      rekey=no
  
  conn win7vpn
      left=%any
      leftsubnet=<amazon VPC CIDR block>
      leftauth=pubkey
      leftcert=openssl-cert.pem
      leftid=<vpn server public dns name>
      right=%any
      rightsourceip=<amazon private IP address, which elastic ip is forwarded to>
      rightauth=eap-mschapv2
      rightsendcert=never
      eap_identity=%any
      auto=add
  

• এটি /etc/ipsec.secrets:

  : RSA openssl-key.rsa
  TESTDOMAIN\testuser : EAP "testpassword"
  

• আমি সিএ শংসাপত্রটি যুক্ত করেছি যা স্থানীয় মেশিনে (ব্যবহারকারীর নয়) সার্টিফিকেট সার্ভারের হোস্ট শংসাপত্রটিতে স্বাক্ষর করেছে যাতে উইন্ডোজ সার্ভারটি প্রমাণীকরণ করতে পারে।

আমি তারপরে এখানে ব্যতীত উইন্ডোজ 7 ক্লায়েন্টটি ব্যবহার করে সার্ভারের সাথে সংযোগ স্থাপনের চেষ্টা করব - আমি আইপি ঠিকানার পরিবর্তে ডিএনএস নাম ব্যবহার করছি। আমি আমার ipsec.secrets ফাইলে ব্যবহারকারীর নাম, ডোমেন এবং পাসওয়ার্ড লিখি এবং এটি সংযোগ দেওয়ার চেষ্টা করে।

যখন এটি হয়, আমি দৃS় সোয়ান লগগুলি দেখতে পাই যা দেখতে এই জাতীয়। আমি সেন্সরশিপ এবং স্পষ্টতা উভয়ের জন্য এগুলিকে কিছুটা ছাঁটাই করেছি; ক্লায়েনটিপব / ক্লায়েনটিপিআরআইভ হ'ল ক্লায়েন্টের পাবলিক এবং প্রাইভেট আইপি অ্যাড্রেস এবং অ্যামাজোনপিআরআইভ হ'ল সার্ভারের প্রাইভেট আইপি অ্যাড্রেস (যা সার্ভারের পাবলিক আইপি - অ্যামাজন এটিকে "ইলাস্টিক আইপি" বলে - ফরওয়ার্ড করে)।

Sep  4 00:16:17 localhost charon: 14[IKE] CLIENTPUB is initiating an IKE_SA
Sep  4 00:16:17 localhost charon: 14[NET] received packet: from CLIENTPUB[500] to AMAZONPRIV[500]
Sep  4 00:16:17 localhost charon: 14[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
Sep  4 00:16:17 localhost charon: 14[IKE] CLIENTPUB is initiating an IKE_SA
Sep  4 00:16:17 localhost charon: 14[IKE] local host is behind NAT, sending keep alives
Sep  4 00:16:17 localhost charon: 14[IKE] remote host is behind NAT
Sep  4 00:16:17 localhost charon: 14[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(MULT_AUTH) ]
Sep  4 00:16:17 localhost charon: 14[NET] sending packet: from AMAZONPRIV[500] to CLIENTPUB[500]
Sep  4 00:16:17 localhost charon: 15[NET] received packet: from CLIENTPUB[4500] to AMAZONPRIV[4500]
Sep  4 00:16:17 localhost charon: 15[ENC] unknown attribute type INTERNAL_IP4_SERVER
Sep  4 00:16:17 localhost charon: 15[ENC] parsed IKE_AUTH request 1 [ IDi CERTREQ N(MOBIKE_SUP) CP(ADDR DNS NBNS SRV) SA TSi TSr ]
Sep  4 00:16:17 localhost charon: 15[IKE] received cert request for "C=US, ST=TX, O=Test CA, CN=Test CA"
Sep  4 00:16:17 localhost charon: 15[IKE] received 316 cert requests for an unknown ca
Sep  4 00:16:17 localhost charon: 15[CFG] looking for peer configs matching AMAZONPRIV[%any]...CLIENTPUB[CLIENTPRIV]
Sep  4 00:16:17 localhost charon: 15[CFG] selected peer config 'dlpvpn'
Sep  4 00:16:17 localhost charon: 15[IKE] initiating EAP-Identity request
Sep  4 00:16:17 localhost charon: 15[IKE] peer supports MOBIKE
Sep  4 00:16:17 localhost charon: 15[IKE] authentication of 'C=US, ST=TX, O=DLP Test CA, CN=vpn.example.com' (myself) with RSA signature successful
Sep  4 00:16:17 localhost charon: 15[IKE] sending end entity cert "C=US, ST=TX, O=DLP Test CA, CN=vpn.example.com"
Sep  4 00:16:17 localhost charon: 15[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
Sep  4 00:16:17 localhost charon: 15[NET] sending packet: from AMAZONPRIV[4500] to CLIENTPUB[4500]

এই মুহুর্তে, উইন্ডোজ তত্ক্ষণাত একটি ত্রুটি বার্তা পপ আপ করে:

Verifying user name and password...
Error 13801: IKE authentication credentials are unacceptable

কয়েক সেকেন্ড পরে, চারন আবার চেষ্টা করে এবং তারপরে সংযোগটি বন্ধ করে দেয়।

Sep  4 00:16:37 localhost charon: 16[IKE] sending keep alive
Sep  4 00:16:37 localhost charon: 16[NET] sending packet: from AMAZONPRIV[4500] to CLIENTPUB[4500]
Sep  4 00:16:47 localhost charon: 03[JOB] deleting half open IKE_SA after timeout

এবং এটাই.

আমি যতদূর বলতে পারি, আমি শক্তিশালী সোয়ান উইকির সমস্ত নির্দেশনা অনুসরণ করছি ।

আমি এখানে কি ভুল করছি?

সম্পাদনা করুন: শংসাপত্রগুলির ক্ষেত্রে এটি অবশ্যই সমস্যা। আমি রেজিস্ট্রি সম্পাদনা করে এমএসকেবি 926182 (যেমন আপনি এর একটি লিঙ্ক চেয়েছিলেন তবে হ'ল) ​​তে বর্ণিত সংশোধন করে বর্ধিত বৈধতা পরীক্ষাগুলি অক্ষম করেছি এবং আমি এখন কোনও ত্রুটি ছাড়াই আমার ভিপিএন সার্ভারের সাথে সংযোগ করতে পারি। প্রয়োজনীয়তাগুলি পূরণ করে এমন একটি শংসাপত্র জেনারেট করব এবং একটি উত্তর যুক্ত করব। শক্তিশালী সোয়ান উইকিতে সার্টিফিকেটের পয়েন্টারটির জন্য @ecdsa কে ধন্যবাদ যে আমাকে সঠিক দিকে নির্দেশ করেছে।

এটি বের করা। @ সিডিএসএ আমাকে সঠিক দিকে নির্দেশ করেছেন এবং অবশেষে আমি এই গাইডটি অনুসরণ করে সমস্যার সমাধান করতে সক্ষম হয়েছি ।

ipsec pki --gen --type rsa --size 4096 --outform pem > vpnca.key.pem
ipsec pki --self --flag serverAuth --in vpnca.key.pem --type rsa --digest sha1 \
    --dn "C=US, O=Example Company, CN=Example VPN CA" --ca > vpnca.crt.der
ipsec pki --gen --type rsa --size 4096 --outform pem > vpn.example.com.key.pem
ipsec pki --pub --in vpn.example.com.key.pem --type rsa > vpn.example.com.csr
ipsec pki --issue --cacert vpnca.crt.der --cakey vpnca.key.pem --digest sha1 \
    --dn "C=US, O=Example Company, CN=vpn.example.com" \
    --san "vpn.example.com" --flag serverAuth --outform pem \
    < vpn.example.com.csr > vpn.example.com.crt.pem 
openssl rsa -in vpn.example.com.key.pem -out vpn.example.com.key.der -outform DER

cp vpnca.crt.der /etc/ipsec.d/cacerts
cp vpn.example.com.crt.pem /etc/ipsec.d/certs
cp vpn.example.com.key.der /etc/ipsec.d/private

ত্রুটি সম্পর্কে

ত্রুটি বার্তাটি ছিল "ত্রুটি 13801: আইকেই প্রমাণীকরণের শংসাপত্রগুলি অগ্রহণযোগ্য", যা আমার ব্যবহারকারী শংসাপত্রগুলি কাজ করছে না বলে মনে হয়েছিল। তবে এটি সার্ভারের অনুমোদনের বিষয়ে একটি বার্তা , যা সার্ভারের এসএসএল শংসাপত্র দ্বারা (আমার কনফিগারেশন প্রতি) সম্পন্ন হয়। মাইক্রোসফ্ট IKEv2 ভিপিএন সংযোগগুলির সমস্যা সমাধানের বিষয়ে ডকুমেন্টেশন প্রকাশ করেছে যা এই ত্রুটির সম্ভাব্য কারণগুলি তালিকাভুক্ত করে:

• শংসাপত্রটির মেয়াদ শেষ হয়ে গেছে।
• শংসাপত্রের জন্য বিশ্বস্ত রুট ক্লায়েন্টের কাছে উপস্থিত নেই।
• শংসাপত্রের বিষয়টির নামটি দূরবর্তী কম্পিউটারের সাথে মেলে না।
• শংসাপত্রটিতে প্রয়োজনীয় বর্ধিত কী ব্যবহারের (ইসকিউ) মান নেই।

আমার ক্ষেত্রে, আমার সমস্যাটি ইকিউ মানগুলির সাথে সম্পর্কযুক্ত ছিল। আমি উপরে যে লিঙ্কটি যুক্ত করেছি তার অনুসরণ করে, আমি সঠিক ইকিউ মান সহ একটি শংসাপত্র তৈরি করতে সক্ষম হয়েছি এবং এটি দুর্দান্ত কাজ করেছে।

এটির সমস্যা সমাধানের জন্য, আপনি আপনার উইন্ডোজ ক্লায়েন্টের EKU চেকিং অক্ষম করতে পারেন (অবশ্যই এটি কেবল পরীক্ষার জন্য করা উচিত):

• শুরু করা regedit
• নেভিগেট করুন HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\Parameters
• বলা একটি ডিডাব্লর্ড যুক্ত করুন DisableIKENameEkuCheckএবং এর মান সেট করুন1
• মাইক্রোসফ্ট ডকুমেন্টেশন আপনাকে এটি করার পরে পুনরায় বুট করার নির্দেশ দেয়, তবে এটি কার্যকর হওয়ার জন্য আমার কোনও প্রয়োজন হয়নি।

আমার একটি অভিন্ন সমস্যা ছিল এবং শংসাপত্রের ফাইলে শংসাপত্র শৃঙ্খলা (শেষ সত্তার সার্টিফিকেট, ইন্টারমিডিয়েট সিএ, রুট সিএ - সেই ক্রমে) রয়েছে তা নিশ্চিত করে সমাধান করেছি। টিএলএস মজাদার।

শক্তিশালী সোয়ান পুনরায় চালু করার পরে, এটি কাজ করা বন্ধ করে দিয়েছে, তবে আমি যখন মধ্যবর্তী এবং রুট সিএ এ ফেলেছি তখন আবার কাজ শুরু করে /etc/ipsec.d/cacerts।

দীর্ঘ অনুসন্ধানের পরে, এই থ্রেডটি আমার উইন্ডোজ ফোন 10 (ডাব্লুপি 10) কনফিগারেশনটি আইকেইভি 2 দিয়ে কাজ করছে! একটি বিষয় উল্লেখ করার মতো হতে পারে যে আপনার প্রয়োজনীয় স্ট্রিংসওয়ানকে --enable-eap-شناخت --enable-eap-mschapv2 --enable-openssl (এবং সম্ভবত --enable-dhcp) দিয়ে প্রয়োজনীয় প্লাগইন থাকতে হবে। এবং হ্যাঁ, আপনাকে শংসাপত্রগুলি সঠিকভাবে পাওয়া দরকার (সার্ভারের দিকে - ক্লায়েন্টকে কেবল সার্ভারের মূল সিএ জানা দরকার)।