strongSwanで3DES_CBC not supportedのエラーが出た場合

概要

IPSecの設定がうまくいかずエラーを見たら3DES_CBC not supportedのエラーが出ていたので、解消した話です。

環境

• Linux Mint 18.1
• strongSwan 5.3.5-1ubuntu3.3

参考

• http://qiita.com/__cooper/items/4b5ab7ae40b0e95f0d19

詳細

参考ページに書いてあるとおり進めていったところ、 ipsec status をしてもどうも成功していないように見えたのでログを見たところ以下のようなエラーが出ていました。

# cat /var/log/syslog | grep CBC
Jun 17 10:55:17 XXX charon: 13[IKE] ENCRYPTION_ALGORITHM 3DES_CBC (key size 0) not supported!

3DES_CBCに対応していないと怒られています。
ipsec listalgs で対応アルゴリズムが確認できるようだったので確認したが、やはりないです。

# ipsec listalgs | grep 3DES

困ったので調べたら普通に書いてありました。
https://wiki.strongswan.org/issues/832

strongswan-plugin-openssl を入れれば良いとのこと。
strongSwanのバックエンドとしてopensslが有効になるらしいです。

# apt-get install strongswan-plugin-openssl

設定を確認すると、load=yesになっているので大丈夫そう。

# cat /etc/strongswan.d/charon/openssl.conf
openssl {

    # ENGINE ID to use in the OpenSSL plugin.
    # engine_id = pkcs11

    # Set OpenSSL FIPS mode: disabled(0), enabled(1), Suite B enabled(2).
    # fips_mode = 0

    # Whether to load the plugin. Can also be an integer to increase the
    # priority of this plugin.
    load = yes

}

再度確認する。

# ipsec listalgs | grep 3DES
  encryption: AES_CBC[aes] RC2_CBC[rc2] 3DES_CBC[openssl] CAMELLIA_CBC[openssl] CAST_CBC[openssl] BLOWFISH_CBC[openssl]

これで3DES_CBC (key size 0) not supported!のエラーは出なくなりました。