服务器 Gind.cn
  1. 服务器 Gind.cn
  3. IKE阶段1主动模式交换没有完成
Intereting Posts
Nginx没有运行,没有错误信息(Ubuntu的14.04升) 如何configuration交换不允许任何陌生人发送电子邮件? Windows 7的惠普proliant DL160 G9 服务器带宽使用监控 Pfsense OpenVPN隧道出现故障 MySQL多级复制不断中断 Server 2003从2003 Server迁移 Exchange 2010,VPN不是基于HTTPS的RPC 不能gzip一些JS和CSS文件 只写远程备份解决scheme,防止黑客进行备份删除 Amazon EC2中的处理时间计费 我如何让GitLab删除旧的备份? 间歇Kerberos失败:GSSAPI身份validation初始化失败 带有可变input文件名的rsyslog 三伦在前面

IKE阶段1主动模式交换没有完成

我已经configuration了一个3G IP网关,使用IKE Phase 1 Aggressive Mode和PSK连接到我在Ubuntu 12.04上运行的openswan安装。 我已经configuration了openswan,如下所示:

/etc/ipsec.conf: 

version 2.0 config setup nat_traversal=yes virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12 oe=off protostack=netkey conn net-to-net authby=secret left=192.168.0.11 [email protected] leftsubnet=10.1.0.0/16 leftsourceip=10.1.0.1 right=%any [email protected] rightsubnet=192.168.127.0/24 rightsourceip=192.168.127.254 aggrmode=yes ike=aes128-md5;modp1536 auto=add

/etc/ipsec.secrets: 

 @left.paxcoda.com @right.paxcoda.com: PSK "testpassword"

请注意,左侧和右侧都是NAT,具有dynamic公共IP。 我的左边的ISP给我的路由器一个公共IP,但是我的正确的ISP给我一个共享的dynamic公共IP和dynamic私有IP。 我在左边的公共IP有dynamic的DNS。 以下是我嗅探ISAKMP协议时看到的内容: 

 21:17:31.228715 IP (tos 0x0, ttl 235, id 43639, offset 0, flags [none], proto UDP (17), length 437) 74.198.87.93.49604 > 192.168.0.11.isakmp: [udp sum ok] isakmp 1.0 msgid 00000000 cookie da31a7896e2a1958->0000000000000000: phase 1 I agg: (sa: doi=ipsec situation=identity (p: #1 protoid=isakmp transform=1 (t: #1 id=ike (type=enc value=aes)(type=keylen value=0080)(type=hash value=md5)(type=auth value=preshared)(type=group desc value=modp1536)(type=lifetype value=sec)(type=lifeduration len=4 value=00015180)))) (ke: key len=192) (nonce: n len=16 data=(da31a7896e2a19582b33...0000001462b01880674b3739630ca7558cec8a89)) (id: idtype=FQDN protoid=0 port=0 len=17 right.paxcoda.com) (vid: len=16) (vid: len=16) (vid: len=16) (vid: len=16) 21:17:31.236720 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 456) 192.168.0.11.isakmp > 74.198.87.93.49604: [bad udp cksum 0x649c -> 0xcd2f!] isakmp 1.0 msgid 00000000 cookie da31a7896e2a1958->5b9776d4ea8b61b7: phase 1 R agg: (sa: doi=ipsec situation=identity (p: #1 protoid=isakmp transform=1 (t: #1 id=ike (type=enc value=aes)(type=keylen value=0080)(type=hash value=md5)(type=auth value=preshared)(type=group desc value=modp1536)(type=lifetype value=sec)(type=lifeduration len=4 value=00015180)))) (ke: key len=192) (nonce: n len=16 data=(32ccefcb793afb368975...000000144a131c81070358455c5728f20e95452f)) (id: idtype=FQDN protoid=0 port=0 len=16 left.paxcoda.com) (hash: len=16) (vid: len=16) (pay20) (pay20) (vid: len=16)

但是,我的3G网关(右侧)没有回应,我不知道为什么。 我认为左边的反应确实正在进入我的门户,因为在另一个问题上 ,我试图build立一个与主模式IKE类似的场景,在这种情况下,看起来好像至less有三种双向主模式交stream成功。

还有什么其他的解释呢?

(顺便说一下,我在右边使用的3G网关是Moxa G3150。)

检查Moxa OnCell的系统日志 – 它可能不满意OpenSWAN的回应,只是中止交换,恕不另行通知。 修改CLI也可能是值得的 – 大多数制造商允许通过CLI进行某种debugging/包跟踪。

另外,如果可能的话,尝试检查响应数据包是否在其公共接口上留下@left NAT路由器,并将地址重新写入公共IP,以排除基础结构中可能的路由/数据包过滤问题。