web-dev-qa-db-ja.com

「エラー13843:無効なペイロードを受信しました。」を解決するにはどうすればよいですか?

Windows8がStrongswanVPNに接続しようとすると、次のエラーが発生します。

エラー13843:無効なペイロードを受信しました。

解決方法や原因がわかりません。私のカロンログにはこれがあります、

15[IKE] IKE_SA roadwarrior[2] established between 10.0.10.81[DNREDACTED1]...75.108.226.117[DNREDACTED2]
15[IKE] scheduling reauthentication in 9771s
15[IKE] maximum IKE_SA lifetime 10311s
15[IKE] sending end entity cert "REDACTED GW CERT"
15[IKE] peer requested virtual IP %any
15[IKE] no virtual IP found, sending INTERNAL_ADDRESS_FAILURE
15[IKE] configuration payload negotiation failed, no CHILD_SA built
15[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH N(AUTH_LFT) N(MOBIKE_SUP) N(NO_ADD_ADDR) N(INT_ADDR_FAIL) ]
15[NET] sending packet: from 10.0.10.81[4500] to 75.108.226.117[4500]
16[NET] received packet: from 75.108.226.117[4500] to 10.0.10.81[4500]
16[ENC] parsed INFORMATIONAL request 2 [ D ]
16[IKE] received DELETE for IKE_SA roadwarrior[2]
16[IKE] deleting IKE_SA roadwarrior[2] between 10.0.10.81[DNREDACTED1]...75.108.226.117[DNREDACTED2]
16[IKE] IKE_SA deleted
16[ENC] generating INFORMATIONAL response 2 [ ]
16[NET] sending packet: from 10.0.10.81[4500] to 75.108.226.117[4500]

ipsec.conf

conn %default                                                                                                                                                                                                                                
  dpdaction=clear                                                                                                                                                                                                                            
  dpddelay=300s                                                                                                                                                                                                                              
  keyexchange=ikev2                                                                                                                                                                                                                          
  auto=add                                                                                                                                                                                                                                   

conn roadwarrior                                                                                                                                                                                                                             
  keyexchange=ikev2                                                                                                                                                                                                                          
  auto=add                                                                                                                                                                                                                                   
  left=%defaultroute                                                                                                                                                                                                                         
  leftcert=gw-cert.pem                                                                                                                                                                                                                       
  leftsubnet=10.0.10.0/24                                                                                                                                                                                                                    
  right=%any                                                                                                                                                                                                                                 
  rightsubnet=192.168.1.1/24

strongswan.conf

charon {                                                                                                                                                                                                                                     
  threads = 16;                                                                                                                                                                                                                              

    # Two defined file loggers. Each subsection is either a file                                                                                                                                                                             
    # in the filesystem or one of: stdout, stderr.                                                                                                                                                                                           
    filelog {                                                                                                                                                                                                                                
        /var/log/charon.log {                                                                                                                                                                                                                
            # add a timestamp prefix                                                                                                                                                                                                         
            time_format = %b %e %T                                                                                                                                                                                                           
            # loggers to files also accept the append option to open files in                                                                                                                                                                
            # append mode at startup (default is yes)                                                                                                                                                                                        
            append = no                                                                                                                                                                                                                      
            # the default loglevel for all daemon subsystems (defaults to 1).                                                                                                                                                                
            default = 1                                                                                                                                                                                                                      
            # flush each line to disk                                                                                                                                                                                                        
            flush_line = yes                                                                                                                                                                                                                 
        }                                                                                                                                                                                                                                    
        stderr {                                                                                                                                                                                                                             
            # more detailed loglevel for a specific subsystem, overriding the                                                                                                                                                                
            # default loglevel.                                                                                                                                                                                                              
            ike = 2                                                                                                                                                                                                                          
            knl = 3                                                                                                                                                                                                                          
            # prepend connection name, simplifies grepping                                                                                                                                                                                   
            ike_name = yes                                                                                                                                                                                                                   
        }                                                                                                                                                                                                                                    
    }                                                                                                                                                                                                                                        
    # And two loggers using syslog. The subsections define the facility to log                                                                                                                                                               
    # to, currently one of: daemon, auth.                                                                                                                                                                                                    
    syslog {                                                                                                                                                                                                                                 
        # optional identifier used with openlog(3), prepended to each log message                                                                                                                                                            
        # by syslog. if not configured, openlog(3) is not called, so the value will                                                                                                                                                          
        # depend on system defaults (usually the program name)                                                                                                                                                                               
        identifier = charon-custom                                                                                                                                                                                                           
        # default level to the LOG_DAEMON facility                                                                                                                                                                                           
        daemon {                                                                                                                                                                                                                             
        }                                                                                                                                                                                                                                    
        # very minimalistic IKE auditing logs to LOG_AUTHPRIV                                                                                                                                                                                
        auth {                                                                                                                                                                                                                               
            default = -1                                                                                                                                                                                                                     
            ike = 0                                                                                                                                                                                                                          
        }                                                                                                                                                                                                                                    
    }                                                                                                                                                                                                                                        


  dns1=4.2.2.1                                                                                                                                                                                                                               
  dns2=4.2.2.2                                                                                                                                                                                                                               

}              
2
Evan Carroll

あなたのipsec.confあなたが持っているログ

rightsubnet = 192.168.1.1/24

それは

rightosourceip = 192.168.1.1/24

left/rightsubnetは、として文書化されています。

left | rightsubnet = [[]] [、...]

左側の参加者の背後にあるプライベートサブネット。ネットワーク/ネットマスクとして表されます。省略した場合、基本的に左/ 32 | 128と見なされ、接続の左|右端が左|右の参加者のみに接続されることを意味します。ピアの構成済みサブネットは異なる場合があり、プロトコルは最大公約数のサブネットに絞り込みます。 5.0.0以降、これはIKEv1でも実行されますが、他の実装で問題が発生する可能性があるため、このような構成で同一のサブネットを構成してください。 IKEv2は、コンマで区切られた複数のサブネットをサポートします。IKEv1は、Cisco Unity拡張プラグインが有効になっていない限り(5.0.1以降で使用可能)、そのような定義の最初のサブネットのみを解釈します。

5.1.0以降、角括弧で囲まれた各サブネットの後のオプション部分は、そのサブネットのセレクターを制限するためのプロトコル/ポートを指定します。例:leftsubnet = 10.0.0.1 [tcp/http]、10.0.0.2 [6/80]またはleftsubnet = fec1 :: 1 [udp]、10.0.0.0/16 [/ 53]。いずれかの値を省略する代わりに、%anyを使用して同じ効果を得ることができます。 leftsubnet = fec1 :: 1 [udp /%any]、10.0.0.0/16 [%any/53]

または、ポート値は、RFC 4301 OPAQUEセレクターの場合は%opaqueの値、または1024〜65535の形式の数値範囲を取ることができます。現在、どのカーネルバックエンドも不透明またはポート範囲をサポートしておらず、代わりにポリシーのインストールに%anyを使用しています。

サブネットを指定する代わりに、%dynamicを使用してそれをIKEアドレスに置き換えることができ、left | rightsubnetを完全に省略するのと同じ効果があります。 %dynamicを使用すると、それぞれが潜在的に異なるプロトコル/ポート定義を持つ複数の動的セレクターを定義できます。

rightsourceipは次のように文書化されていますが、

rightsourceip =%config |/| %poolname

リモートピアのトンネルで使用する内部ソースIP。値がレスポンダー側のconfigである場合、イニシエーターはアドレスを提案する必要があり、それがエコーバックされます。 /として表されるアドレスプール、または%poolnameを使用した外部IPアドレスプールの使用もサポートされます。poolnameはルックアップに使用されるIPアドレスプールの名前です(詳細については、仮想IPを参照してください)。 5.0.1以降、たとえば、異なるアドレスファミリのプールを定義するために、IPアドレス/プールのコンマ区切りリストが受け入れられます。

1
Evan Carroll