概要
IPSecの設定がうまくいかずエラーを見たら3DES_CBC not supportedのエラーが出ていたので、解消した話です。
環境
- Linux Mint 18.1
- strongSwan 5.3.5-1ubuntu3.3
参考
詳細
参考ページに書いてあるとおり進めていったところ、 ipsec status
をしてもどうも成功していないように見えたのでログを見たところ以下のようなエラーが出ていました。
# cat /var/log/syslog | grep CBC
Jun 17 10:55:17 XXX charon: 13[IKE] ENCRYPTION_ALGORITHM 3DES_CBC (key size 0) not supported!
3DES_CBCに対応していないと怒られています。
ipsec listalgs
で対応アルゴリズムが確認できるようだったので確認したが、やはりないです。
# ipsec listalgs | grep 3DES
困ったので調べたら普通に書いてありました。
https://wiki.strongswan.org/issues/832
strongswan-plugin-openssl
を入れれば良いとのこと。
strongSwanのバックエンドとしてopensslが有効になるらしいです。
# apt-get install strongswan-plugin-openssl
設定を確認すると、load=yesになっているので大丈夫そう。
# cat /etc/strongswan.d/charon/openssl.conf
openssl {
# ENGINE ID to use in the OpenSSL plugin.
# engine_id = pkcs11
# Set OpenSSL FIPS mode: disabled(0), enabled(1), Suite B enabled(2).
# fips_mode = 0
# Whether to load the plugin. Can also be an integer to increase the
# priority of this plugin.
load = yes
}
再度確認する。
# ipsec listalgs | grep 3DES
encryption: AES_CBC[aes] RC2_CBC[rc2] 3DES_CBC[openssl] CAMELLIA_CBC[openssl] CAST_CBC[openssl] BLOWFISH_CBC[openssl]
これで3DES_CBC (key size 0) not supported!のエラーは出なくなりました。