Windows8がStrongswanVPNに接続しようとすると、次のエラーが発生します。
エラー13843:無効なペイロードを受信しました。
解決方法や原因がわかりません。私のカロンログにはこれがあります、
15[IKE] IKE_SA roadwarrior[2] established between 10.0.10.81[DNREDACTED1]...75.108.226.117[DNREDACTED2]
15[IKE] scheduling reauthentication in 9771s
15[IKE] maximum IKE_SA lifetime 10311s
15[IKE] sending end entity cert "REDACTED GW CERT"
15[IKE] peer requested virtual IP %any
15[IKE] no virtual IP found, sending INTERNAL_ADDRESS_FAILURE
15[IKE] configuration payload negotiation failed, no CHILD_SA built
15[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH N(AUTH_LFT) N(MOBIKE_SUP) N(NO_ADD_ADDR) N(INT_ADDR_FAIL) ]
15[NET] sending packet: from 10.0.10.81[4500] to 75.108.226.117[4500]
16[NET] received packet: from 75.108.226.117[4500] to 10.0.10.81[4500]
16[ENC] parsed INFORMATIONAL request 2 [ D ]
16[IKE] received DELETE for IKE_SA roadwarrior[2]
16[IKE] deleting IKE_SA roadwarrior[2] between 10.0.10.81[DNREDACTED1]...75.108.226.117[DNREDACTED2]
16[IKE] IKE_SA deleted
16[ENC] generating INFORMATIONAL response 2 [ ]
16[NET] sending packet: from 10.0.10.81[4500] to 75.108.226.117[4500]
ipsec.conf
conn %default
dpdaction=clear
dpddelay=300s
keyexchange=ikev2
auto=add
conn roadwarrior
keyexchange=ikev2
auto=add
left=%defaultroute
leftcert=gw-cert.pem
leftsubnet=10.0.10.0/24
right=%any
rightsubnet=192.168.1.1/24
strongswan.conf
charon {
threads = 16;
# Two defined file loggers. Each subsection is either a file
# in the filesystem or one of: stdout, stderr.
filelog {
/var/log/charon.log {
# add a timestamp prefix
time_format = %b %e %T
# loggers to files also accept the append option to open files in
# append mode at startup (default is yes)
append = no
# the default loglevel for all daemon subsystems (defaults to 1).
default = 1
# flush each line to disk
flush_line = yes
}
stderr {
# more detailed loglevel for a specific subsystem, overriding the
# default loglevel.
ike = 2
knl = 3
# prepend connection name, simplifies grepping
ike_name = yes
}
}
# And two loggers using syslog. The subsections define the facility to log
# to, currently one of: daemon, auth.
syslog {
# optional identifier used with openlog(3), prepended to each log message
# by syslog. if not configured, openlog(3) is not called, so the value will
# depend on system defaults (usually the program name)
identifier = charon-custom
# default level to the LOG_DAEMON facility
daemon {
}
# very minimalistic IKE auditing logs to LOG_AUTHPRIV
auth {
default = -1
ike = 0
}
}
dns1=4.2.2.1
dns2=4.2.2.2
}
あなたのipsec.conf
あなたが持っているログ
rightsubnet = 192.168.1.1/24
それは
rightosourceip = 192.168.1.1/24
left/rightsubnetは、として文書化されています。
left | rightsubnet = [[]] [、...]
左側の参加者の背後にあるプライベートサブネット。ネットワーク/ネットマスクとして表されます。省略した場合、基本的に左/ 32 | 128と見なされ、接続の左|右端が左|右の参加者のみに接続されることを意味します。ピアの構成済みサブネットは異なる場合があり、プロトコルは最大公約数のサブネットに絞り込みます。 5.0.0以降、これはIKEv1でも実行されますが、他の実装で問題が発生する可能性があるため、このような構成で同一のサブネットを構成してください。 IKEv2は、コンマで区切られた複数のサブネットをサポートします。IKEv1は、Cisco Unity拡張プラグインが有効になっていない限り(5.0.1以降で使用可能)、そのような定義の最初のサブネットのみを解釈します。
5.1.0以降、角括弧で囲まれた各サブネットの後のオプション部分は、そのサブネットのセレクターを制限するためのプロトコル/ポートを指定します。例:leftsubnet = 10.0.0.1 [tcp/http]、10.0.0.2 [6/80]またはleftsubnet = fec1 :: 1 [udp]、10.0.0.0/16 [/ 53]。いずれかの値を省略する代わりに、%anyを使用して同じ効果を得ることができます。 leftsubnet = fec1 :: 1 [udp /%any]、10.0.0.0/16 [%any/53]
または、ポート値は、RFC 4301 OPAQUEセレクターの場合は%opaqueの値、または1024〜65535の形式の数値範囲を取ることができます。現在、どのカーネルバックエンドも不透明またはポート範囲をサポートしておらず、代わりにポリシーのインストールに%anyを使用しています。
サブネットを指定する代わりに、%dynamicを使用してそれをIKEアドレスに置き換えることができ、left | rightsubnetを完全に省略するのと同じ効果があります。 %dynamicを使用すると、それぞれが潜在的に異なるプロトコル/ポート定義を持つ複数の動的セレクターを定義できます。
rightsourceip
は次のように文書化されていますが、
rightsourceip =%config |/| %poolname
リモートピアのトンネルで使用する内部ソースIP。値がレスポンダー側のconfigである場合、イニシエーターはアドレスを提案する必要があり、それがエコーバックされます。 /として表されるアドレスプール、または%poolnameを使用した外部IPアドレスプールの使用もサポートされます。poolnameはルックアップに使用されるIPアドレスプールの名前です(詳細については、仮想IPを参照してください)。 5.0.1以降、たとえば、異なるアドレスファミリのプールを定義するために、IPアドレス/プールのコンマ区切りリストが受け入れられます。