IPsec vpn採用預共享密鑰方式搭建隧道。
症狀: 第一階段協商過程中成功協商kmp sa,但是快速模式協商SA失敗。
解決:
debian:~# ipsec setup restart
ipsec_setup: Stopping Openswan IPsec...
ipsec_setup: Starting Openswan IPsec 2.6.28...
ipsec_setup: No KLIPS support found while requested, desperately falling back to netkey
ipsec_setup: NETKEY support found. Use protostack=netkey in /etc/ipsec.conf to avoid attempts to use KLIPS. Attempting to continue with NETKEY
在ipsec.conf文件裏添加下面語句。
protostack=netkey
配置選項
protostack
decide which protocol stack is going to be used. Valid values are "auto", "klips", "netkey" and "mast". The "mast" stack is a variation for the klips stack.
相關知識:
OpenSWan是開源項目FreeS/WAN停止開發後的後繼分支項目,由三個主要組件構成:
配置工具(ipsec命令腳本)
Key管理工具(pluto)
內核組件(KLIPS/26sec)
26sec使用2.6內核內建模塊Netkey,用來替代OpenSWan開發的KLIPS模塊,2.4及以下版本內核無Netkey模塊支持,只能使用KLIPS。如果你用的是2.6.9以上的內核,推薦使用26sec,可以不用給內核打Nat-T補丁就可以使用NAT,2.6.9以下版本內核的NETKEY存在Bug,推薦使用KLIPS。
更多詳情請參見OpenSWan項目主頁:http://www.openswan.org