Hello,
I am using the plugin load-tester with strongswan-4.6.4, against a remote host.
The initiator host has the following configurations (extracted from its
strongswan.conf file) :
--------
initiators = 1
iterations = 1
proposal = aes256-sha1-modp2048,aes128-sha1-modp2048
--------
for the responder (extracted from its ipsec.conf file) :
--------
conn %default
ike=aes256-sha1-modp2048,aes128-sha1-modp2048
--------
Both strongswan.conf and ipsec.conf files are attached.
My problem deals with the IKE proposals. I have the following error in the logs
:
on the initiator host :
--------
Jun 22 15:03:27 vm-test-amd64-linux-squeeze-03.showroom.nss.thales charon:
00[DMN] Starting IKEv2 charon daemon (strongSwan 4.6.4)
Jun 22 15:03:27 vm-test-amd64-linux-squeeze-03.showroom.nss.thales charon:
00[CFG] algorithm 'modp2048,aes128' not recognized
--------
on the responder host :
--------
Jun 22 11:42:50 vm-test-amd64-linux-squeeze-05.showroom.nss.thales charon:
13[CFG] received proposals: IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768
Jun 22 11:42:50 vm-test-amd64-linux-squeeze-05.showroom.nss.thales charon:
13[CFG] configured proposals:
IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048,
IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048,
IKE:AES_CBC_128/AES_CBC_192/AES_CBC_256/3DES_CBC/AES_XCBC_96/AES_CMAC_96/HMAC_SHA1_96/HMAC_MD5_96/HMAC_SHA2_256_128/HMAC_SHA2_384_192/HMAC_SHA2_512_256/PRF_AES128_XCBC/PRF_AES128_CMAC/PRF_HMAC_SHA1/PRF_HMAC_MD5/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/MODP_2048/MODP_2048_224/MODP_2048_256/MODP_1536/MODP_4096/MODP_8192/MODP_1024/MODP_1024_160/ECP_256/ECP_384/ECP_521/ECP_224/ECP_192
Jun 22 11:42:50 vm-test-amd64-linux-squeeze-05.showroom.nss.thales charon:
13[IKE] received proposals inacceptable
Jun 22 11:42:50 vm-test-amd64-linux-squeeze-05.showroom.nss.thales charon:
13[ENC] generating IKE_SA_INIT response 0 [ N(NO_PROP) ]
--------
I would want to know why the proposal
"aes256-sha1-modp2048,aes128-sha1-modp2048" are not recognized when using the
load-tester plugin.
By the way, this proposal is accepted when I mount a simple IPSec tunnel
without the plugin load-tester :
--------
Security Associations (1 up, 0 connecting):
home[2]: ESTABLISHED 7 seconds ago, 192.168.21.123[C=FR, O=Thales,
CN=vmtest03]...192.168.21.125[C=FR, O=Thales, CN=vmtest05]
home[2]: IKE SPIs: a083061ad063edce_i* 74d4a4238fe4f0e9_r, public key
reauthentication in 52 minutes
home[2]: IKE proposal: AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
home{1}: INSTALLED, TUNNEL, ESP SPIs: 01000000_i ced44884_o
home{1}: AES_CBC_128/HMAC_SHA1_96, 0 bytes_i (1830345s ago), 0 bytes_o
(1830345s ago), rekeying in 16 minutes
home{1}: 192.168.21.123/32 === 192.168.21.125/32
--------
Regards,
Stéphanie
# strongswan.conf - strongSwan configuration file - entre parentheses ce sont
les valeurs par defaut
charon {
#(yes) crée un nouvel IKE Sa pour chaque Child SA dans le but de simuler
plusieurs clients
reuse_ikesa = no
#(yes)désactive la protection contre le déni de service
dos_protection = no
plugins {
load-tester {
#(600) durée de vie en secondes des Child SA avant d'être renouvelés
child_rekey = 120
#(0)délai en ms entre les initiations, pour chacune des threads
delay = 100
#(no) supprime un IKE SA dès qu'il a été établi
delete_after_established = no
#(0) intervalle de transmissions des messages DPD (Dead Per Detection)
à utiliser pour le plugin load-tester
dpd_delay = 0
#(0) port de base à utiliser pour chaque requête (chaque client
utilise un port différent)
dynamic_port = 0
#(default-pwd) secret EAP à utiliser dans le plugin
eap_password = default-pwd
#(no) active ou non le plugin load-tester
enable = yes
#(no) fausse l'interface noyau pour permettre l'utilisation du plugin
contre soi-même
fake_kernel = yes
#(0) durée de vie en secondes d'une IKE SA avant d'être renouvelée.
Ici on ne les renouvelle pas
ike_rekey = 120
#(0) limite global de SAs mises en place simultanément. 0 = aucune
lumite
init_limit = 0
#(0) nombre de threads initiateurs à utiliser simultanément. 0 =
aucune limite
initiators = 1
#(pubkey) méthode(s) d'authentification que l'initiateur utilise
initiator_auth = pubkey
#identité de l'initiateur utilisée
#initiator_id =
#(1) nombre d'IKE SAs que chaque initiateur va initier
iterations = 1
#fournit des adresses IPv4 internes à partir d'un pool nommé
#pool =
#(default-psk) clef pré-partagée utilisée
preshared_key = default-psk
#(aes128-sha1-modp768) algorithmes IKE utilisées
proposal = aes256-sha1-modp2048,aes128-sha1-modp2048
#(127.0.0.1) adresse à qui on initie les connexions
remote = 192.168.21.125
#(pubkey) méthode(s) d'authentification qu'utilise le répondeur
responder_auth = pubkey
# identité du répondeur utilisée
#responder_id =
#(no) requiert une INTERNAL_IPV4_ADDR du serveur
request_virtual_ip = yes
#(no) arrête le démon après que tous les IKE SAs sont établis
shutdown_when_complete = no
}
}
filelog {
/var/log/charon.log {
default = 1
}
}
syslog {
daemon {
default = 1
}
auth {
default = 4
}
}
}
# /etc/ipsec.conf - vm-test-05
config setup
charonstart=yes #par defaut
plutostart=no #yes par defaut
strictcrlpolicy=no #no par defaut
uniqueids=yes #par defaut
charondebug=4
crlcheckinterval=180 #IKEv1 slmt. 0s par defaut
cachecrls=yes #no par defaut
keep_alive=20s #IKEv1 slmt. 20s par defaut
nat_traversal=yes #no par defaut et utile slmt pour IKEv1 car toujours
actif pour IKEv2.
nocrsend=no #IKEv1 slmt. no par defaut
pkcs11keepstate=no #par defaut
pkcs11proxy=no #par defaut
#pkcs11initargs=
#pkcs11module=
#plutodebug=none
#plutostderrlog=
#postpluto=
#prepluto=
#virtual_private= IKEv1 slmt
ca CA_certificate
cacert=caCert.pem
auto=add
conn %default
auth=esp #par defaut
authby=pubkey #pubkey par defaut
compress=no #par defaut
dpdaction=none #par defaut
dpddelay=30s #par defaut
dpdtimeout=150s #par defaut. utile pour IKEv1 slmt
forceencaps=no #par defaut
ikelifetime=60m #3h par defaut
installpolicy=yes #par defaut
keyexchange=ikev2 #ike par defaut (~ikev2 pour versions superieures Ã
4.5, et ikev1 sinon)
keyingtries=1 #3 par defaut
keylife=20m #1h par defaut
lifebytes=0 #par defaut. IKEv2 slmt
lifepackets=0 #par defaut. IKEv2 slmt
marginbytes=0 #par defaut. IKEv2 slmt
marginpackets=0 #par defaut. IKEv2 slmt
mobike=yes #par defaut
modeconfig=pull #par defaut
pfs=yes #par defaut
reauth=yes #par defaut
rekey=yes #par defaut
rekeyfuzz=100% #par defaut
rekeymargin=3m #9m par defaut
type=tunnel #par defaut
xauth=client #utile si XAuth a ete active par authby=xauthpsk
inactivity=24h #ikev2 slmt
ike=aes256-sha1-modp2048,aes128-sha1-modp2048
#esp=aes256-sha1-modp2048,aes128-sha1-modp2048
#ike=aes256-sha1-modp2048,aes128-sha1-modp2048
#aaa_identity=
#closeaction=none par defaut (parametre inconnu pr strongswan 4.4.1)
#also=
#eap=
#eap_identity=
#mark=
#mark_in=
#mark_out=
#pfsgroup= (seulement IKEv1)
#reqid=
#xauth_identity=
conn home
auto=add #ignore par defaut
left=vm-test-amd64-linux-squeeze-05.showroom.nss.thales
leftallowany=yes #no par defaut
leftfirewall=yes #no par defaut
lefthostaccess=yes #no par defaut
leftsendcert=ifasked #ifasked par defaut
leftsubnet=192.168.21.125/32 #par defaut si rien n'est mentionne
leftcert=vmtest05Cert.pem
leftid="C=FR, O=Thales, CN=vmtest05"
leftrsasigkey=%cert
right=vm-test-amd64-linux-squeeze-03.showroom.nss.thales
rightid="C=FR, O=Thales, CN=vmtest03"
rightallowany=no #par defaut
rightfirewall=no #par defaut
righthostaccess=yes #no par defaut
rightsendcert=ifasked #ifasked par defaut
rightsubnet=192.168.21.123/32
rightrsasigkey=%cert
mediation=no #par defaut
#ike=aes256-sha1-modp2048,aes128-sha1-modp2048
#leftauth= (seulement IKEv2)
#leftauth2= (seulement IKEv2)
#leftca=
#leftca2=
#leftcert2=
#leftgroups=
#leftid2= (seulement IKEv2)
#leftikeport=500
#leftnexthop=
#leftprotoport=
#leftsourceip=
#leftsubnetwithin=
#leftupdown=
#rightauth= (seulement IKEv2)
#rightauth2= (seulement IKEv2)
#rightca=
#rightca2=
#rightcert=
#rightcert2=
#rightgroups=
#rightid=
#rightid2= (seulement IKEv2)
#rightnexthop=
#rightprotoport=
#rightsourceip=
#rightsubnetwithin=
#rightupdown=
#mediated_by=
#me_peerid=
conn rw-server
left=192.168.21.125
leftsubnet=192.168.21.125/32
right=%any
rightsourceip=10.3.0.0/16
leftid="CN=srv, OU=load-test, O=strongSwan"
leftcert=responder_cert.pem
authby=pubkey
keyexchange=ikev2
type=tunnel
auto=add
_______________________________________________
Users mailing list
[email protected]
https://lists.strongswan.org/mailman/listinfo/users
