pfSense / strongSwan“超时后删除半开IKE_SA” – IPSec连接Android 4.4到pfSense 2.2.1失败

2.2版中的pfSense从Racoon切换到strongSwan 。

由于该更改，用户不能再从Android客户端连接到VPN（typesIPSec Xauth PSK ）。

Android上的当前configuration如下：

 | _。 名称|  _ [无关] _ |
 | _。 types|  IPSec Auth PSK |
 | _。 服务器地址|  $ THE_PFSENSE_IP |
 | _。  IPSec标识符|  the.identifier |
 | _。  IPSec预共享密钥|  3yZuE7kLFGqOj79hRAqM3vQpPWC7DRlY6ep8hfoVtkZWVqNd8C3W |
 | _。  DNSsearch域|  _ [（not used）] _ |
 | _。  DNS服务器|  _ [（not used）] _ |
 | _。 转发路线|  _ $ LOCAL_IP / 32_ |

pfSense上的当前configuration如下：

IPSec>隧道= 启用IPSec

阶段1：移动客户端

一般信息

 | _。 禁用|  _ [unset] _ |
 | _。 密钥交换版本|  _V1_ |
 | _。  Internet协议|  _IPv4_ |
 | _。 界面|  WAN |
 | _。 说明|  _ [无关] _ |

阶段1build议（authentication）

 | _。 authentication方法|  _Mutual PSK + Xauth_ |
 | _。 谈判模式|  _Aggressive_ |
 | _。 我的标识符|  _我的IP地址|
 | _。 对等标识符|  _Distinguished name_ _the.identifier_ |
 | _。 预共享密钥|  3yZuE7kLFGqOj79hRAqM3vQpPWC7DRlY6ep8hfoVtkZWVqNd8C3W |

阶段1提案（algorithm）

 | _。 encryptionalgorithm|  _AES_ _256位_ |
 | _。 散列algorithm|  _SHA1_ |
 | _。  DH密钥组| |  _2（1024位）_ |
 | _。 终身|  _28800_秒|

高级选项

 | _。 禁用redirect|  _ [unset] _ |
 | _。 只有响应者|  _ [unset] _ |
 | _。  NAT穿越|  _Auto_ |
 | _。 死对等检测|  _ [启用] _ _10_秒，_5_重试|

阶段2：移动客户端

 | _。 禁用|  _ [unset] _ |
 | _。 模式|  _Tunnel IPv4_ |
 | _。 本地networking|  *types：* _Address_ *地址：* _ $ LOCAL_IP_ * NAT：* _ [none / empty] _ |
 | _。 说明|  _ [无关] _ |

第二阶段提案（SA / Key Exchange）

 | _。 协议|  _ESP_ |
 | _。 encryptionalgorithm|  _AES_ _auto_ * only * |
 | _。 散列algorithm|  _SHA1_ *仅* |
 | _。  PFS密钥组| |  _off_ |
 | _。 终身|  _3600_ _seconds_ |

高级选项

 | _。 自动ping主机|  _ [空] _ |

在pfSense上logging输出

IPSec日志（启动）

 
 3月23日02:10:43 ipsec_starter [88815]：启动weakSwan 5.2.1 IPsec [启动] ...
 3月23日02:10:43 ipsec_starter [88815]：没有检测到netkey IPsec堆栈
 3月23日02:10:43 ipsec_starter [88815]：检测到KLIPS IPsec堆栈
 3月23日02:10:43 ipsec_starter [88815]：没有已知的IPsec堆栈检测到，忽略！
 3月23日02:10:43 charon：00 [DMN]启动IKE charon守护进程（strongSwan 5.2.1，FreeBSD 10.1-RELEASE-p6，i386）
 3月23日02:10:44 charon：00 [KNL]无法设置UDP_ENCAP：无效的参数
 3月23日02:10:44 charon：00 [NET]在端口4500上启用UDP解封装失败
 3月23日02:10:44 charon：00 [CFG] ipseckey插件被禁用
 3月23日02:10:44 charon：00 [CFG]从'/var/etc/ipsec/ipsec.d/cacerts'
 3月23日02:10:44 charon：00 [CFG]从'/var/etc/ipsec/ipsec.d/cacerts/a85fc367.0.crt'加载ca证书“$ CERT1_INFO”
 3月23日02:10:44 charon：00 [CFG]从'/var/etc/ipsec/ipsec.d/cacerts/5eb84096.0.crt'加载了CA证书“$ CERT2_INFO”
 3月23日02:10:44 charon：00 [CFG]从'/var/etc/ipsec/ipsec.d/cacerts/16eb0859.0.crt'加载CA证书“$ CERT3_INFO”
 3月23日02:10:44 charon：00 [CFG]从'/var/etc/ipsec/ipsec.d/cacerts/e06d03ef.0.crt'加载了CA证书“$ CERT4_INFO”
 3月23日02:10:44 charon：00 [CFG]从'/var/etc/ipsec/ipsec.d/cacerts/01c1b386.0.crt'加载ca证书“$ CERT5_INFO”
 3月23日02:10:44 charon：00 [CFG]从'/var/etc/ipsec/ipsec.d/aacerts'加载aa证书
 3月23日02:10:44 charon：00 [CFG]从'/var/etc/ipsec/ipsec.d/ocspcerts'加载ocsp签名者证书
 3月23日02:10:44 charon：00 [CFG]从'/var/etc/ipsec/ipsec.d/acerts'加载属性证书
 3月23日02:10:44 charon：00 [CFG]从'/var/etc/ipsec/ipsec.d/crls'加载crls
 3月23日02:10:44 charon：00 [CFG]从'/var/etc/ipsec/ipsec.secrets'
 3月23日02:10:44 charon：00 [CFG]加载IKE秘密$ PFSENSE_IP the.identifier
 3月23日02:10:44 charon：00 [CFG]加载IKE秘密％任何.identifier
 3月23日02:10:44 charon：00 [CFG]打开三元组文件/var/etc/ipsec/ipsec.d/triplets.dat失败：没有这样的文件或目录
 3月23日02:10:44 charon：00 [CFG]加载了0个RADIUS服务器configuration
 3月23日02:10:44 charon：00 [LIB]加载插件：charon unbound aes des blowfish rc2 sha1 sha2 md4 md5随机随机数x509撤销约束pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey ipseckey pem openssl fips-prf gmp xcbc cmac hmac curl attr kernel-pfkey kernel -pfroute解决socket-default笔划smp updown eap-identity eap-sim eap-aka eap-aka-3gpp2 eap-md5 eap-mschapv2 eap-dynamic eap-radius eap -tls eap -ttls eap-peap xauth -generic xauth-eap白名单addrblock统一
 3月23日02:10:44 charon：00 [LIB]无法加载6个插件function（5个由于未满足的依赖关系）
 Mar 23 02:10:44 charon：00 [JOB]产生16个工作线程
 3月23日02:10:44 ipsec_starter [89411]：charon（89559）在600 ms后启动
 3月23日02:10:44 charon：06 [CFG]收到描边：添加连接'con1'
 3月23日02:10:44 charon：06 [CFG]添加虚拟IP地址池192.168.97.0/24
 Mar 23 02:10:44 charon：06 [CFG]添加configuration'con1'
 Mar 23 02:11:02 charon：06 [CFG]重读秘密
 3月23日02:11:02 charon：06 [CFG]从'/var/etc/ipsec/ipsec.secrets'
 3月23日02:11:02 charon：06 [CFG]加载IKE秘密$ PFSENSE_IP the.identifier
 3月23日02:11:02 charon：06 [CFG]加载了IKE秘密％任何the.identifier
 Mar 23 02:11:02 charon：06 [CFG]重新读取'/var/etc/ipsec/ipsec.d/cacerts'
 3月23日02:11:02 charon：06 [CFG]从'/var/etc/ipsec/ipsec.d/cacerts/a85fc367.0.crt'加载ca证书“$ CERT1_INFO”
 3月23日02:11:02 charon：06 [CFG]从'/var/etc/ipsec/ipsec.d/cacerts/5eb84096.0.crt'加载ca证书“$ CERT2_INFO”
 Mar 23 02:11:02 charon：06 [CFG]从'/var/etc/ipsec/ipsec.d/cacerts/16eb0859.0.crt'加载了CA证书“$ CERT3_INFO”
 3月23 02:11:02 charon：06 [CFG]从'/var/etc/ipsec/ipsec.d/cacerts/e06d03ef.0.crt'加载了CA证书“$ CERT4_INFO”
 3月23 02:11:02 charon：06 [CFG]从'/var/etc/ipsec/ipsec.d/cacerts/01c1b386.0.crt'加载ca证书“$ CERT5_INFO”
 3月23日02:11:02 charon：06 [CFG]重读来自'/var/etc/ipsec/ipsec.d/ocspcerts'的ocsp签名者证书
 3月23日02:11:02 charon：06 [CFG]重新读取'/var/etc/ipsec/ipsec.d/aacerts'
 Mar 23 02:11:02 charon：06 [CFG]从'/var/etc/ipsec/ipsec.d/acerts'重新读取属性证书
 Mar 23 02:11:02 charon：06 [CFG]重读来自'/var/etc/ipsec/ipsec.d/crls'的crls

IPSec日志（连接）

 3月23日02:13:50 charon：14 [ENC]parsingAGGRESSIVE请求0 [SA KE无ID VVVVVVVV] 3月23日02:13:50 charon：14 [IKE]收到FRAGMENTATION vendor ID Mar 23 02:13:50 charon： 14 [IKE]收到了FRAGMENTATION vendor ID Mar 23 02:13:50 charon：14 [IKE]收到NAT-T（RFC 3947）厂商ID Mar 23 02:13:50 charon：14 [IKE]收到NAT-T 3947）vendor ID Mar 23 02:13:50 charon：14 [IKE]收到draft-ietf-ipsec-nat-t-ike-02供应商ID Mar 23 02:13:50 charon：14 [IKE]收到draft-ietf -ipsec-nat-t-ike-02供应商ID Mar 23 02:13:50 charon：14 [IKE]收到draft-ietf-ipsec-nat-t-ike-02 \ n vendor ID Mar 23 02:13:50 charon：14 [IKE]收到draft-ietf-ipsec-nat-t-ike-02 \ n vendor ID Mar 23 02:13:50 charon：14 [IKE]收到draft-ietf-ipsec-nat-t-ike- 00供应商ID Mar 23 02:13:50 charon：14 [IKE]收到了draft-ietf-ipsec-nat-t-ike-00供应商ID Mar 23 02:13:50 charon：14 [IKE]收到XAuth供应商ID Mar 23 02:13:50 charon：14 [IKE]收到XAuth供应商ID Mar 23 02:13:50 charon：14 [IKE]收到Cisc  o Unity供应商ID 3月23日02:13:50 charon：14 [IKE]收到Cisco Unity供应商ID Mar 23 02:13:50 charon：14 [IKE]收到DPD供应商ID Mar 23 02:13:50 charon：14 [ IKE]收到DPD供应商ID Mar 23 02:13:50 charon：14 [IKE] $ REMOTE_IP正在发起一个积极的模式IKE_SA Mar 23 02:13:50 charon：14 [IKE] $ REMOTE_IP正在发起一个积极的模式IKE_SA Mar 23 02:13:50 charon：14 [CFG]寻找XAuthInitPSK对等configuration匹配$ PFSENSE_IP ... $ REMOTE_IP [the.identifier] Mar 23 02:13:50 charon：14 [CFG] selected peer config“con1”Mar 23 02:13:50 charon：14 [ENC]生成AGGRESSIVE响应0 [SA KE无ID NAT-D NAT-D HASH VVVVV] Mar 23 02:13:50 charon：14 [NET]发送数据包：从$ PFSENSE_IP [500 ] to $ REMOTE_IP [500]（432 bytes）Mar 23 02:13:52 charon：14 [NET]收到数据包：从$ REMOTE_IP [500]到$ PFSENSE_IP [500]（646 bytes）Mar 23 02:13:52 charon：14 [IKE]收到ID为0的请求重传，转发响应3月23日02:13:52 charon：14 [IKE]收到重发请求  st ID 0，转发响应3月23 02:13:52 charon：14 [NET]发送数据包：从$ PFSENSE_IP [500]到$ REMOTE_IP [500]（432字节）Mar 23 02:13:54 charon：14 [ IKE]发送响应消息ID 0的转发1，seq 1 Mar 23 02:13:54 charon：14 [IKE]发送响应消息ID 0的转发1，seq 1 Mar 23 02:13:54 charon：14 [NET]发送数据包：从$ PFSENSE_IP [500]到$ REMOTE_IP [500]（432字节）Mar 23 02:13:55 charon：14 [NET]收到的数据包：从$ REMOTE_IP [500]到$ PFSENSE_IP [500]（646字节）3月23日02:13:55 charon：14 [IKE]收到ID为0的请求重传，转发响应Mar 23 02:13:55 charon：14 [IKE]收到ID为0的请求重传，转发响应Mar 23 02 ：13：55 charon：14 [NET]发送数据包：从$ PFSENSE_IP [500]到$ REMOTE_IP [500]（432字节）3月23日02:13:59 charon：14 [NET]收到数据包：从$ REMOTE_IP [500 ]到$ PFSENSE_IP [500]（646字节）3月23日02:13:59 charon：14 [IKE]收到ID为0的请求重新传输，重新传输 响应3月23日02:13:59 charon：14 [IKE]收到ID 0重发请求，重发3月23日02:13:59 charon：14 [NET]发送数据包：从$ PFSENSE_IP [500]到$ REMOTE_IP [ 500]（432 bytes）3月23日02:14:01 charon：14 [IKE]发送响应消息ID为0的重传2，seq 1 Mar 23 02:14:01 charon：14 [IKE]发送响应消息ID的重传2 0，seq 1 Mar 23 02:14:01 charon：14 [NET]发送数据包：从$ PFSENSE_IP [500]到$ REMOTE_IP [500]（432字节）Mar 23 02:14:01 charon：14 [NET]数据包：从$ REMOTE_IP [500]到$ PFSENSE_IP [500]（646字节）3月23日02:14:01 charon：14 [IKE]收到ID为0的请求重新传输，转发响应Mar 23 02:14:01 charon：发送数据包：从$ PFSENSE_IP [500]到$ REMOTE_IP [500]（432字节）3月23日02:14:01 charon：14 [NET]发送数据包： 14:05 charon：16 [NET]收到数据包：从$ REMOTE_IP [500]到$ PFSENSE_IP [500]（646 bytes）Mar 23 02:14:05 char  on：16 [IKE]收到ID为0的请求重传，转发响应Mar 23 02:14:05 charon：16 [IKE]收到ID为0的请求重传，转发响应Mar 23 02:14:05 charon：16 [ NET]发送数据包：从$ PFSENSE_IP [500]到$ REMOTE_IP [500]（432字节）Mar 23 02:14:07 charon：16 [NET]收到数据包：从$ REMOTE_IP [500]到$ PFSENSE_IP [500]（ 646字节）3月23日02:14:07 charon：16 [IKE]收到ID为0的请求重发，转发响应Mar 23 02:14:07 charon：16 [IKE]收到ID为0的请求重发，重发响应Mar 23 02:14:07 charon：16 [NET]发送数据包：从$ PFSENSE_IP [500]到$ REMOTE_IP [500]（432字节）3月23日02:14:11 charon：16 [NET]收到数据包：从$ REMOTE_IP [500]到$ PFSENSE_IP [500]（646字节）3月23日02:14:11 charon：16 [IKE]接收到ID 0请求的重新传输，转发响应3月23日02:14:11 charon：16 [IKE]收到重传ID 0请求，重传响应Mar 23 02:14:11 charon：16 发送数据包：从$ PFSENSE_IP [500]到$ REMOTE_IP [500]（432字节）Mar 23 02:14:13 charon：16 [NET]收到数据包：从$ REMOTE_IP [500]到$ PFSENSE_IP [500] （646字节）3月23日02:14:13 charon：16 [IKE]接收到ID为0的请求重传，重新发送响应3月23日02:14:13 charon：16 [IKE]收到ID为0的请求重新传输， 3月23日02:14:13 charon：16 [NET]发送数据包：从$ PFSENSE_IP [500]到$ REMOTE_IP [500]（432字节）Mar 23 02:14:14 charon：16 [IKE]发送响应3消息ID 0，seq 1 Mar 23 02:14:14 charon：16 [IKE]发送响应消息ID 0的重传3，seq 1 Mar 23 02:14:14 charon：16 [NET]发送数据包：from $ PFSENSE_IP [ 500]到$ REMOTE_IP [500]（432字节）Mar 23 02:14:16 charon：16 [NET]收到的数据包：从$ REMOTE_IP [500]到$ PFSENSE_IP [500]（646字节）Mar 23 02:14： 16位：16位[IKE]接收到ID为0的转发请求，转发响应3月23日02:14:16 charon：16 [IKE]收到转发 请求ID 0，转发响应Mar 23 02:14:16 charon：16 [NET]发送数据包：从$ PFSENSE_IP [500]到$ REMOTE_IP [500]（432字节）Mar 23 02:14:20 charon：16 [ JOB]在超时后删除半开IKE_SA

连接失败的原因是什么？如何解决？

我一直有这个完全相同的问题。

根据此[ IKEv1无法从Android的默认VPN客户端连接 ]，当前的Android VPN IKEv1客户端中存在一个错误，如果select积极模式并且使用“IPsec标识符”来configurationAndroid客户端，则会发生错误。

解决方法是清除 Android客户端的“IPsec标识符”条目，在阶段1提议中 ，协商模式应该是Main 。

在我的设置阶段1build议（身份validation）： 身份validation方法是相互PSK + Xauth而不只是相互PSK。