Проблемы с настройкой IPSEC с использованием ip xfrm

725
dutsnekcirf

Я пытался вручную добавить SA в базу данных ассоциации безопасности ядра Linux, но постоянно получаю сообщение об ошибке «Нет такого файла или каталога». Я хочу создать SA, который использует только ESP и не использует AH. Я хотел бы, чтобы он принимал и расшифровывал любой входящий пакет с любого исходного IP-адреса, который использует номер SPI 0x201 и ключ шифрования, показанные в примере.

ip xfrm state add src 0.0.0.0 dst 192.168.121.138 proto esp spi 0x201 enc des3_ede 0x8a718c734f68865738a3d9780e49cc2f52c40ef9fa368acc mode transport

Ответы RTNETLINK: Нет такого файла или каталога

Я обнаружил, что если я предоставлю пустой ключ аутентификации, как показано ниже, то он фактически примет команду и создаст SA. Но он не привыкает, когда приходит пакет.

ip xfrm state add src 0.0.0.0 dst 192.168.121.138 proto esp spi 0x201 auth sha1 "" enc des3_ede 0x8a718c734f68865738a3d9780e49cc2f52c40ef9fa368acc mode transport

Я также попытался использовать digest_null для протокола аутентификации, но он не согласится с этим, говоря, что функция не реализована.

ip xfrm state add src 0.0.0.0 dst 192.168.121.138 proto esp spi 0x201 auth digest_null "" enc des3_ede 0x8a718c734f68865738a3d9780e49cc2f52c40ef9fa368acc mode transport

Я использую CentOS 7.4 с версией ядра 3.10.0-693.11.1.el7.x86_64 с отключенным iptables и firewalld. Мое ядро ​​не поддерживает добавление SA без AH? Это известная ошибка? Я искал везде что-то, что могло бы помочь, но мне не повезло.

РЕДАКТИРОВАТЬ: я обнаружил, что я могу сделать это, если у меня нет параметра fips = 1 в моем операторе командной строки ядра в Grub. Есть ли способ сделать это, оставив этот параметр на месте? Я обязан быть FIPS-совместимым. ESP без AH не считается FIPS-совместимым?

0

0 ответов на вопрос

Похожие вопросы