Probleme mit der IPSEC-Konfiguration unter Verwendung von IP xfrm

Ich habe versucht, manuell eine Sicherheitszuordnung in die Linux-Kernel-Sicherheitszuordnungsdatenbank aufzunehmen, bekomme aber immer die Fehlermeldung "Keine solche Datei oder ein solches Verzeichnis". Ich möchte eine SA erstellen, die nur ESP und nicht AH verwendet. Ich möchte, dass eingehende Pakete von einer beliebigen Quell-IP, die eine SPI-Nummer von 0x201 und einen im hier gezeigten Verschlüsselungsschlüssel verwendet, akzeptiert und entschlüsselt werden.

ip xfrm state add src 0.0.0.0 dst 192.168.121.138 proto esp spi 0x201 enc des3_ede 0x8a718c734f68865738a3d9780e49cc2f52c40ef9fa368acc-Modus-Transport

RTNETLINK antwortet: Keine solche Datei oder Verzeichnis

Ich habe festgestellt, dass ich, wenn ich einen leeren Authentifizierungsschlüssel bereitstelle, den Befehl akzeptiert und eine Sicherheitszuordnung erstellt. Es wird jedoch nicht gewöhnt, wenn ein Paket eingeht.

ip xfrm state add src 0.0.0.0 dst 192.168.121.138 proto esp spi 0x201 auth sha1 "" enc des3_ede 0x8a718c734f68865738a3d9780e49cc2f52c40ef9fa368acc Modusübertragung

Ich habe auch versucht, digest_null für das Authentifizierungsprotokoll zu verwenden, akzeptiert jedoch nicht, dass die Funktion nicht implementiert ist.

ip xfrm state add src 0.0.0.0 dst 192.168.121.138 proto esp spi 0x201 auth digest_null "" enc des3_ede 0x8a718c734f68865738a3d9780e49cc2f52c40ef9fa368acc Modus-Transport

Ich führe CentOS 7.4 mit der Kernel-Version 3.10.0-693.11.1.el7.x86_64 mit iptables und firewalld aus. Unterstützt mein Kernel das Hinzufügen von SAs ohne AH nicht? Ist das ein bekannter Fehler? Ich habe überall nach etwas gesucht, das helfen könnte, aber kein Glück hatte.

EDIT: Ich habe festgestellt, dass ich dies tun kann, solange ich nicht den Parameter fips = 1 in meiner Kernel-Befehlszeilenanweisung in Grub habe. Gibt es eine Möglichkeit, dies zu tun, während der Parameter an Ort und Stelle bleibt? Ich muss FIPS-konform sein. Wird ESP ohne AH nicht als FIPS-konform angesehen?