Connexion d'un serveur à mon réseau domestique à travers Strongswan (Notification d'erreur reçue INVALID_ID_INFORMATION)

J'essaie d'installer une connexion VPN à partir du serveur racine à mon réseau domestique via strongswan. J'ai mis en place mon routeur (FritzBox 7490) Pour les connexions VPN PSK XAUTH. Connexion VPN de mon smartphone Android fonctionne.

Je lutte avec la bonne configuration Strongswan. J'ai appris le leadership et je me termine avec des idées. Je ne sais même pas comment interpréter le magazine.

Deux fichiers de configuration et magazine:

/etc/strongswan/ipsec.conf

#/etc/strongswan/ipsec.conf
config setup
uniqueids=no
#charondebug="ike 4, knl 4, cfg 4, mgr 4, chd 4, dmn 4, esp 4, lib 4, tnc 4"

conn %default
ike=aes256-sha-modp1024!
esp=3des-md5!
ikelifetime=60m
keylife=20m
rekeymargin=3m
keyingtries=1
keyexchange=ikev1

conn wb
auto=add
aggressive=yes
xauth_identity=montblanc
left=5.196.66.46
leftid=keyid:montblanc
leftsourceip=%config4
#leftgroups2=montblanc
#leftfirewall=yes
leftauth=psk
leftauth2=xauth
right=nanga.no-ip.biz
rightid=%any
rightsubnet=192.168.178.0/24
rightauth=psk

/etc/ipsec.secrets

# /etc/ipsec.secrets - strongSwan IPsec secrets file
%any : PSK "something"
montblanc : XAUTH "somethingelse"

Magazine lorsqu'il est connecté:

initiating Aggressive Mode IKE_SA wb[3] to 93.104.35.40
generating AGGRESSIVE request 0 [ SA KE No ID V V V V ]
sending packet: from 5.196.66.46[500] to 93.104.35.40[500] (341 bytes)
received packet: from 93.104.35.40[500] to 5.196.66.46[500] (412 bytes)
parsed AGGRESSIVE response 0 [ SA KE No ID HASH V V V V V NAT-D NAT-D ]
received XAuth vendor ID
received DPD vendor ID
received NAT-T (RFC 3947) vendor ID
received draft-ietf-ipsec-nat-t-ike-03 vendor ID
received unknown vendor ID: a2:22:6f:c3:64:50:0f:56:34:ff:77:db:3b:74:f4:1b
generating AGGRESSIVE request 0 [ NAT-D NAT-D HASH ]
sending packet: from 5.196.66.46[500] to 93.104.35.40[500] (108 bytes)
received packet: from 93.104.35.40[500] to 5.196.66.46[500] (92 bytes)
parsed INFORMATIONAL_V1 request 3080152599 [ HASH N(INITIAL_CONTACT) ]
received packet: from 93.104.35.40[500] to 5.196.66.46[500] (92 bytes)
parsed TRANSACTION request 3809505870 [ HASH CPRQ(X_TYPE X_USER X_PWD) ]
generating TRANSACTION response 3809505870 [ HASH CPRP(X_USER X_PWD) ]
sending packet: from 5.196.66.46[500] to 93.104.35.40[500] (108 bytes)
received packet: from 93.104.35.40[500] to 5.196.66.46[500] (76 bytes)
parsed TRANSACTION request 3809505870 [ HASH CPS(X_STATUS) ]
XAuth authentication of 'montblanc' (myself) successful
IKE_SA wb[3] established between 5.196.66.46[montblanc]...93.104.35.40[93.104.35.40]
scheduling reauthentication in 3410s
maximum IKE_SA lifetime 3590s
generating TRANSACTION response 3809505870 [ HASH CPA(X_STATUS) ]
sending packet: from 5.196.66.46[500] to 93.104.35.40[500] (76 bytes)
generating TRANSACTION request 835986006 [ HASH CPRQ(ADDR DNS) ]
sending packet: from 5.196.66.46[500] to 93.104.35.40[500] (76 bytes)
received packet: from 93.104.35.40[500] to 5.196.66.46[500] (76 bytes)
parsed TRANSACTION response 835986006 [ HASH CPRP(ADDR DNS) ]
installing DNS server 192.168.178.1 to /etc/strongswan/resolv.conf
installing new virtual IP 192.168.178.202
generating QUICK_MODE request 2471505598 [ HASH SA No ID ID ]
sending packet: from 5.196.66.46[500] to 93.104.35.40[500] (172 bytes)
received packet: from 93.104.35.40[500] to 5.196.66.46[500] (76 bytes)
parsed INFORMATIONAL_V1 request 1883469062 [ HASH N(INVAL_ID) ]
received INVALID_ID_INFORMATION error notify
establishing connection 'wb' failed

Je suis content de toutes les offres.
Invité:

Emilie

Confirmation de:

Lorsque le client reçoit un avis INVALID_ID_INFORMATION Pendant les échanges en mode rapide IKEv1, Cela signifie que le répondant n'aime pas le contenu des données d'identifiant utiles, utilisées pour transmettre des sélecteurs de trafic. (Sous-réseau) Dans ces échanges. Cela peut être associé à un paramètre incorrect des sous-réseaux. (ils doivent coïncider aux deux extrémités). Une comparaison de la configuration peut aider et, en fonction de la mise en œuvre, affichez le journal du répondant.

Quelques implémentations IKEv1 Utiliser des extensions Cisco Unity, qui vous permettent de transmettre le sous-réseau distant tunnelé lors de l'échange ModeConfig. Ils s'attendent souvent à ce que un sous-réseau distant dans l'échange en mode rapide soit installé sur

0.0.0.0/0

Au lieu de l'un des sous-réseaux réels. Alors essayez d'allumer
https://wiki.strongswan.org/pr ... lugin
dans strongSwan et définir

rightsubnet=0.0.0.0/0

, Ce qui pourrait être ce que l'intimé attend.

Pour répondre aux questions, connectez-vous ou registre