strongswanと富士通Si-R G200の接続施行

結果として、接続は出来た。
YAMAHAの設定方法と、富士通の設定方法を無理やり合体させた。
YAMAHA同士だと、IKE VERSION 1でしか繋がらないが、
こっちではIKE v2でつながった。謎。
でも、pre-shared-key記述とDPD actionがきな臭い。
例えば、富士通側で回線がオフラインになったとき、strongswan側はまだechoしている。
dpd actionが動いていない。
SAが消え去る前に回線復帰すると、よくわからないエラーが出る。
これがDPD失敗してるのか、pre-shared-key記述間違いしているのかが不明。
もしくは両方。
明日も実験を行う。

さて、今回の施行履歴を以下に記述。

今回、Strongswanで使用する暗号化形式は以下。
ESP:AES_CBC_256/HMAC_SHA2_256_128/MODP_2048/NO_EXT_SEQ

でも富士通くんは普通に設定しようとすると以下を返す。
ESP:AES_CBC_256/HMAC_SHA2_256_128/MODP_2048/EXT_SEQ

最後のEXT_SEQが不一致のため、跳ねられる。
Strongswan側を修正しようと思ったのだが、この辺見つからなかったので富士通側で探していたら見つかった。
remote X ap Y ipsec ike esn disable
これをすると、NO_EXT_SEQのパケットを返すようになった。
両方のlog見ながらやると接続施行楽やなぁ。

あともう一つ。

05[ENC] parsed CREATE_CHILD_SA request 69 [ SA No KE TSi TSr ]
05[CFG] selected proposal: ESP:AES_CBC_256/HMAC_SHA2_256_128/MODP_2048/NO_EXT_SEQ
05[KNL] unable to add SAD entry with SPI 06b34d2f (ALREADY_DONE)
05[IKE] unable to install outbound IPsec SA (SAD) in kernel
05[IKE] failed to establish CHILD_SA, keeping IKE_SA
05[ENC] generating CREATE_CHILD_SA response 69 [ N(NO_PROP) ]

このエラー、うさんくさいのがunable to install outbound IPsec SA (SAD) in kernel
SAがインストールできないと仰る。
そのため、failedして、再度SA作り直し。無限ループに陥る。
この時、swanctl -qで繰り返し施行してたのだが、
最終的にsystemctl restart strongswanで正常にアクセスできた。
一応、swanctlのALL-LOADなのだが、途中でわっしわっし変更したのがよくなかったらしい。