업그레이드 후 IPsec을 사용하여 VPN에 연결할 수 없음

저는 현재 베타 버전인 Debian Stretch를 사용하고 있습니다. 얼마 전에 IPsec을 사용하여 VPN 연결을 설정했는데 제대로 작동했습니다. 갑자기 멈췄습니다. 그 동안 일부 패키지가 업그레이드되었을 수 openssl있지만 다시 작동하게 만드는 방법 strongswan은 잘 모르겠습니다.

오류 메시지는 다음과 같습니다.

freyja@araguaney:~$ sudo ipsec up flow
initiating Main Mode IKE_SA flow[1] to XXX.XXX.XXX.XXX
generating ID_PROT request 0 [ SA V V V V ]
sending packet: from XXX.XXX.XXX.XXX[500] to XXX.XXX.XXX.XXX[500] (216 bytes)
received packet: from XXX.XXX.XXX.XXX[500] to XXX.XXX.XXX.XXX[500] (40 bytes)
parsed INFORMATIONAL_V1 request 1195290638 [ N(NO_PROP) ]
received NO_PROPOSAL_CHOSEN error notify
establishing connection 'flow' failed

내 클라이언트가 제안된 알고리즘을 사용할 수 없는 것 같습니다(so NO_PROPOSAL_CHOSEN). 서버 로그에 나타난 오류에 대해 관리자에게 물었고 다음과 같이 말했습니다.

IKE: Main Mode Failed to match proposal: Transform: AES-128, SHA1, Group
2 (1024 bit) Reason: unsupported hash algorithm -1

그는 또한 서버에서 제공하는 알고리즘을 나열합니다. ike하나의 가능한 조합을 강제하기 위해 매개변수를 추가했습니다 .

/etc/ipsec.conf:

conn flow
            ...
            leftfirewall=yes
            ike=aes128-sha1-modp1024
            ...

사용하면 연결 로그가 더 길어지지만 실패로 끝납니다: .

...
reached self-signed root ca with a path length of 0
authentication of 'XXX.XXX.XXX.XXX' with RSA_EMSA_PKCS1_NULL successful
IKE_SA flow[1] established between XXX.XXX.XXX.XXX[O=csc..puejse, OU=users, CN=freyja]...XXX.XXX.XXX.XXX[XXX.XXX.XXX.XXX]
scheduling reauthentication in 3292s
maximum IKE_SA lifetime 3472s
generating TRANSACTION request 3626856411 [ HASH CPRQ(ADDR DNS) ]
sending packet: from XXX.XXX.XXX.XXX[4500] to XXX.XXX.XXX.XXX[4500] (76 bytes)
received packet: from XXX.XXX.XXX.XXX[4500] to XXX.XXX.XXX.XXX[4500] (92 bytes)
parsed TRANSACTION response 3626856411 [ HASH CPRP(ADDR DNS DNS) ]
installing DNS server XXX.XXX.XXX.XXX to /etc/resolv.conf
installing DNS server XXX.XXX.XXX.XXX to /etc/resolv.conf
installing new virtual IP XXX.XXX.XXX.XXX
generating QUICK_MODE request 2757640703 [ HASH SA No ID ID ]
sending packet: from XXX.XXX.XXX.XXX[4500] to XXX.XXX.XXX.XXX[4500] (204 bytes)
received packet: from XXX.XXX.XXX.XXX[4500] to XXX.XXX.XXX.XXX[4500] (252 bytes)
parsed INFORMATIONAL_V1 request 2437352460 [ HASH N(NO_PROP) ]
received NO_PROPOSAL_CHOSEN error notify
establishing connection 'flow' failed

이번에도 해시 함수에 대한 몇 가지 정보가 있습니다. ipsec listalgs서버에서 제안하는 해시 함수 사용이 지원되는지 확인합니다 . 그래서 어떻게 진행해야 할지 모르겠습니다.

나는 openssl을 다운그레이드하고, 현재 패키지(1.0.2h)를 제거하고 Ubuntu 패키지(1.0.2.d - 이 패키지를 사용하여 Ubuntu에서 동료의 연결이 작동함)를 설치해 보았습니다. 이것은 도움이 되지 않습니다.

내 시스템의 SSL 기능에 문제가 있는 것 같습니다. 이전에 작업했던 메일 서버와도 협상할 수 없기 때문입니다. 하지만 디버깅하고 이러한 기능을 복원하는 방법을 모르겠습니다. (저는 고급 사용자가 아니기 때문에 이것들은 모두 저의 추측입니다.) 도와주세요.