使用 OpenSwan/xl2tpd 从 Windows7 连接到 IPSec/L2tp 到 Amazon EC2

我正在尝试从家里的 Windows7 连接到 Amazon 的 Ubuntu EC2 实例上的 OpenSwan/xl2tpd 设置。
它是从客户端和服务器端进行 NAT 的连接。
我正在关注几个线程的提示，了解如何完成此连接，但都失败了

最让我困惑的是日志中的以下行：

7 月 13 日 11:04:21 ip-10-117-59-224 pluto[8782]：“connRW48”[2] 85.178.143.82 #1：无法响应 IPsec SA 请求，因为 23.21.84.48/32 没有已知连接===10.117.59.224[23.21.84.48,+S=C]:17/1701...85.178.143.82[192.168.2.103,+S=C]:17/1701===192.168.2.103/32

此连接显然存在于标识为 leftid 的外部 IP（有关 ipsec auto --status 的信息，请参见下文）。为什么找不到？或者我还做错了什么？

我将不胜感激任何帮助。

我的配置：

我使用的IP：

EC2实例内部IP：10.117.59.224
实例关联的弹性IP：23.21.84.48
我的 ISP 的 IP 与我家里的路由器相关联：85.178.143.82
我家的NAT IP：192.168.2.103

我目前在 /var/log/auth.log 上收到这些错误消息：

7 月 13 日 11:03:55 ip-10-117-59-224 pluto [8782]：将路径更改为目录“/etc/ipsec.d/ocspcerts”
7 月 13 日 11:03:55 ip-10-117-59-224 pluto [8782]：更改到目录 '/etc/ipsec.d/crls'
7 月 13 日 11:03:55 ip-10-117-59-224 pluto [8782]：警告：空目录
7 月 13 日 11:03:55 ip-10-117-59-224 pluto [8782]：侦听 IKE 消息
7 月 13 日 11:03:55 ip-10-117-59-224 pluto[8782]：添加接口 eth0/eth0 10.117.59.224:500
7 月 13 日 11:03:55 ip-10-117-59-224 pluto[8782]：添加接口 lo/lo 127.0.0.1:500
7 月 13 日 11:03:55 ip-10-117-59-224 pluto[8782]：添加接口 lo/lo ::1:500
7 月 13 日 11:03:55 ip-10-117-59-224 pluto [8782]：从“/etc/ipsec.secrets”加载机密
7 月 13 日 11:03:55 ip-10-117-59-224 pluto [8782]：为 keyid 加载私钥：PPK_RSA:AQOnFE96U
7 月 13 日 11:03:57 ip-10-117-59-224 pluto[8782]：添加了连接描述“connRW48”
7 月 13 日 11:04:20 ip-10-117-59-224 pluto[8782]：来自 85.178.143.82:500 的数据包：忽略供应商 ID 负载 [MS NT5 ISAKMPOAKLEY 00000008]
7 月 13 日 11:04:20 ip-10-117-59-224 pluto[8782]：来自 85.178.143.82:500 的数据包：收到供应商 ID 有效负载 [RFC 3947] meth=109，但端口浮动已关闭
7 月 13 日 11:04:20 ip-10-117-59-224 pluto[8782]：来自 85.178.143.82:500 的数据包：收到供应商 ID 有效载荷 [draft-ietf-ipsec-nat-t-ike-02_n] meth= 106，但端口浮动关闭
7 月 13 日 11:04:20 ip-10-117-59-224 pluto[8782]：来自 85.178.143.82:500 的数据包：忽略供应商 ID 有效负载 [FRAGMENTATION]
7 月 13 日 11:04:20 ip-10-117-59-224 pluto[8782]：来自 85.178.143.82:500 的数据包：忽略供应商 ID 负载 [MS-协商发现能力]
7 月 13 日 11:04:20 ip-10-117-59-224 pluto[8782]：来自 85.178.143.82:500 的数据包：忽略供应商 ID 有效载荷 [Vid-Initial-Contact]
7 月 13 日 11:04:20 ip-10-117-59-224 pluto[8782]：来自 85.178.143.82:500 的数据包：忽略供应商 ID 负载 [IKE CGA 版本 1]
7 月 13 日 11:04:20 ip-10-117-59-224 pluto[8782]：“connRW48”[1] 85.178.143.82 #1：从未知对等端 85.178.143.82 响应主模式
7 月 13 日 11:04:20 ip-10-117-59-224 pluto[8782]：“connRW48”[1] 85.178.143.82 #1：不支持 OAKLEY_GROUP 20。属性 OAKLEY_GROUP_DESCRIPTION
7 月 13 日 11:04:20 ip-10-117-59-224 pluto[8782]：“connRW48”[1] 85.178.143.82 #1：不支持 OAKLEY_GROUP 19。属性 OAKLEY_GROUP_DESCRIPTION
7 月 13 日 11:04:20 ip-10-117-59-224 pluto[8782]：“connRW48”[1] 85.178.143.82 #1：从状态 STATE_MAIN_R0 到状态 STATE_MAIN_R1 的转换
7 月 13 日 11:04:20 ip-10-117-59-224 pluto[8782]：“connRW48”[1] 85.178.143.82 #1：STATE_MAIN_R1：已发送 MR1，期待 MI2
7 月 13 日 11:04:20 ip-10-117-59-224 pluto[8782]：“connRW48”[1] 85.178.143.82 #1：从状态 STATE_MAIN_R1 到状态 STATE_MAIN_R2 的转换
7 月 13 日 11:04:20 ip-10-117-59-224 pluto[8782]：“connRW48”[1] 85.178.143.82 #1：STATE_MAIN_R2：已发送 MR2，期待 MI3
7 月 13 日 11:04:21 ip-10-117-59-224 pluto[8782]：“connRW48”[1] 85.178.143.82 #1：主模式对等 ID 为 ID_IPV4_ADDR：'192.168.2.103'
7 月 13 日 11:04:21 ip-10-117-59-224 pluto[8782]：“connRW48”[1] 85.178.143.82 #1：从“connRW48”切换为“connRW48”
7 月 13 日 11:04:21 ip-10-117-59-224 pluto[8782]：“connRW48”[2] 85.178.143.82 #1：删除与对等 85.178.143.82 的连接“connRW48”实例 {isakmp=#0/ ipsec=#0}
7 月 13 日 11:04:21 ip-10-117-59-224 pluto[8782]：“connRW48”[2] 85.178.143.82 #1：从状态 STATE_MAIN_R2 到状态 STATE_MAIN_R3 的转换
7 月 13 日 11:04:21 ip-10-117-59-224 pluto[8782]：“connRW48”[2] 85.178.143.82 #1：STATE_MAIN_R3：已发送 MR3，ISAKMP SA 已建立 {auth=OAKLEY_PRESHARED_KEY cipher=aes_256 prf= oakley_sha 组=modp2048}
7 月 13 日 11:04:21 ip-10-117-59-224 pluto[8782]：“connRW48”[2] 85.178.143.82 #1：提议的对等方：23.21.84.48/32:17/1701 -> 192.168。 2.103/32:17/0
7 月 13 日 11:04:21 ip-10-117-59-224 pluto[8782]：“connRW48”[2] 85.178.143.82 #1：无法响应 IPsec SA 请求，因为 23.21.84.48/32 没有已知连接===10.117.59.224[23.21.84.48,+S=C]:17/1701...85.178.143.82[192.168.2.103,+S=C]:17/1701===192.168.2.103/32
7 月 13 日 11:04:21 ip-10-117-59-224 pluto[8782]：“connRW48”[2] 85.178.143.82 #1：发送加密通知 INVALID_ID_INFORMATION 到 85.178.143.82:500
7 月 13 日 11:04:22 ip-10-117-59-224 pluto[8782]：“connRW48”[2] 85.178.143.82 #1：提议的对等方：23.21.84.48/32:17/1701 -> 192.168。 2.103/32:17/0
7 月 13 日 11:04:22 ip-10-117-59-224 pluto[8782]：“connRW48”[2] 85.178.143.82 #1：无法响应 IPsec SA 请求，因为 23.21.84.48/32 没有已知连接===10.117.59.224[23.21.84.48,+S=C]:17/1701...85.178.143.82[192.168.2.103,+S=C]:17/1701===192.168.2.103/32

我的安全组允许 UDP 端口 500 和 4500 等的传入通信

我的 iptables 还允许 1701 等等

我的 /etc/ipsec.conf：

2.0版
配置设置
        protostack=网络密钥
        接口=%默认路由
        nat_traversal=是
        virtual_private=%v4:10.0.0.0/8,%v4:172.16.0.0/12
        oe=否
        nhelpers=0
        disable_port_floating=是
包括 /etc/ipsec.d/*.conf

我的 /etc/ipsec.d/connRW48.conf

conn connRW48
        rightsubnet=vhost:%no,%priv
        类型=运输
        authby=秘密
        pfs=无
        重新注册=否
        ikelifetime=8h
        按键寿命=1h
        左端口=17/1701
        左=10.117.59.224
        #[email protected]
        左 ID=23.21.84.48
        rightprotoport=17/0
        右=%any
        自动=忽略

我的（审查过的）/etc/ipsec.secrets：

：RSA {
        # RSA 2048 位 ip-10-117-59-224 2012 年 7 月 10 日星期二 14:01:50
        # 仅用于签名，对加密不安全
        #pubkey=XXXXXXX
        模数：XXX
        公共指数：0x03
        # 这一点之后的一切都是秘密的
        私人指数：XXX
        Prime1：XXX
        Prime2：XXX
        指数 1：XXX
        指数 2：XXX
        系数：XXX
        }
# 不要改变那个“}”的缩进
@ip-10-117-59-224.ec2.internal %any: PSK "XXX"
23.21.84.48 %any: PSK“XXX”

我运行“ipsec verify”的输出：

检查您的系统以查看 IPsec 是否已正确安装和启动：
版本检查和 ipsec on-path [OK]
Linux Openswan U2.6.37/K3.2.0-25-虚拟（网络密钥）
检查内核中的 IPsec 支持 [确定]
 SAref 内核支持 [N/A]
 NETKEY：测试 XFRM 相关的 proc 值 [OK]
        [好的]
        [好的]
检查 pluto 是否正在运行 [OK]
 Pluto 在 udp 500 上侦听 IKE [OK]
 Pluto 在 udp 4500 上侦听 NAT-T [失败]
检查“ip”命令[确定]
检查 /bin/sh 不是 /bin/dash [警告]
检查“iptables”命令[确定]
机会加密支持 [已禁用]

我运行“ipsec auto --status”的输出：

000 使用内核接口：netkey
000 接口 lo/lo ::1
000 接口 lo/lo 127.0.0.1
000 接口 eth0/eth0 10.117.59.224
000 %myid =（无）
000 调试无
000
000 虚拟_私有 (%priv):
000 - 允许 2 个子网：10.0.0.0/8、172.16.0.0/12
000 - 不允许 0 个子网：
000 警告：virtual_private= 中不允许的子网为空。如果你有
000 内部使用的私有地址空间，应该排除！
000
000算法ESP加密：id=2,name=ESP_DES,ivlen=8,keysizemin=64,keysizemax=64
...
...
000 算法 IKE dh 组：id=24，name=OAKLEY_GROUP_DH24，bits=2048
000
000 统计 db_ops: {curr_cnt, total_cnt, maxsz} :context={0,0,0} trans={0,0,0} attrs={0,0,0}
000
000 "connRW48": 10.117.59.224[23.21.84.48,+S=C]:17/1701...%virtual[+S=C]:17/0===?; 未路由；路由所有者：#0
000“connRW48”：myip=未设置；hisip=未设置；
000“connRW48”：ike_life：28800s；ipsec_life: 3600s; rekey_margin：540s；rekey_fuzz：100%；键入次数：0
000“connRW48”：策略：PSK+ENCRYPT+DONTREKEY+IKEv2ALLOW+SAREFTRACK+lKOD+rKOD；优先级：32,32；接口：eth0；
000“connRW48”：最新的 ISAKMP SA：#0；最新 IPsec SA：#0；
000

提前致谢

使用 OpenSwan/xl2tpd 从 Windows7 连接到 IPSec/L2tp 到 Amazon EC2

我的配置：

新安装后 postgres 的默认超级用户用户名/密码是什么？

SFTP 使用什么端口？

命令行列出 Windows Active Directory 组中的用户？

什么是 Pem 文件，它与其他 OpenSSL 生成的密钥文件格式有何不同？

如何确定bash变量是否为空？

Noam Singer's questions

使用 OpenSwan/xl2tpd 从 Windows7 连接到 IPSec/L2tp 到 Amazon EC2

我的配置：

新安装后 postgres 的默认超级用户用户名/密码是什么？

SFTP 使用什么端口？

命令行列出 Windows Active Directory 组中的用户？

什么是 Pem 文件，它与其他 OpenSSL 生成的密钥文件格式有何不同？

如何确定bash变量是否为空？