IPsec vpn采用预共享密钥方式搭建隧道 --SA协商失败原因。

IPsec vpn采用预共享密钥方式搭建隧道。

症状：   第一阶段协商过程中成功协商kmp sa，但是快速模式协商SA失败。

 

解决：
debian:~# ipsec setup restart
ipsec_setup: Stopping Openswan IPsec...
ipsec_setup: Starting Openswan IPsec 2.6.28...
ipsec_setup: No KLIPS support found while requested, desperately falling back to netkey
ipsec_setup: NETKEY support found. Use protostack=netkey in /etc/ipsec.conf to avoid attempts to use KLIPS. Attempting to continue with NETKEY

 

在ipsec.conf文件里添加下面语句。  
protostack=netkey

 

配置选项
protostack
decide which protocol stack is going to be used. Valid values are "auto", "klips", "netkey" and "mast". The "mast" stack is a variation for the klips stack.

 

相关知识：
OpenSWan是开源项目FreeS/WAN停止开发后的后继分支项目，由三个主要组件构成：
      配置工具（ipsec命令脚本）
      Key管理工具（pluto）
      内核组件（KLIPS/26sec）
    26sec使用2.6内核内建模块Netkey，用来替代OpenSWan开发的KLIPS模块，2.4及以下版本内核无Netkey模块支持，只能使用KLIPS。如果你用的是2.6.9以上的内核，推荐使用26sec，可以不用给内核打Nat-T补丁就可以使用NAT，2.6.9以下版本内核的NETKEY存在Bug，推荐使用KLIPS。
   
   
    更多详情请参见OpenSWan项目主页：http://www.openswan.org