overloadtm

Добрый день. Сегодня обновилась прошивка на Speedster (KN-3010) EAEU с 4.3.7 на 4.3.8. И вроде бы всё работало, за исключением подключения к роутеру по IKEv2 с телефона на андроиде v.16. При попытке создать соединение - тупо пытался подключиться бесконечно. В логе следующая информация: ipsec 09[IKE] DH group MODP_4096 unacceptable, requesting MODP_2048 11[IKE] xxx.xxx.xxx.xxx is initiating an IKE_SA 11[CFG] received proposals: IKE:AES_CTR=256/AES_CBC=256/AES_CTR=192/AES_CBC=192/AES_CTR=128/AES_CBC=128/HMAC_SHA2_512_256/HMAC_SHA2_384_192/HMAC_SHA2_256_128/AES_XCBC_96/AES_CMAC_96/PRF_HMAC_SHA1/PRF_AES128_XCBC/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_CMAC/MODP_4096/CURVE_25519/MODP_3072/MODP_2048, IKE:CHACHA20_POLY1305/AES_GCM_16=256/AES_GCM_12=256/AES_GCM_8=256/AES_GCM_16=192/AES_GCM_12=192/AES_GCM_8=192/AES_GCM_16=128/AES_GCM_12=128/AES_GCM_8=128/PRF_HMAC_SHA1/PRF_AES128_XCBC/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_CMAC/MODP_4096/CURVE_25519/MODP_3072/MODP_2048 11[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256 11[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048 11[IKE] remote host is behind NAT 10[IKE] KDF_PRF with PRF_HMAC_SHA2_256 not supported 10[IKE] key derivation failed 10[IKE] found encrypted message, but no keys available 10[IKE] IKE_AUTH request with message ID 1 processing failed Сначала погрешил на провайдера и сотового оператора, может они заблочили протокол или порт. Но провайдер написал, какие порты он блочит, и собственно не в них дело. Сотовый оператор тоже отпал, т.к. допустим на iPhone по L2TP соединение есть, проблема именно в IKEv2(а он только на Андроиде 16). Когда приложение отключаешь на роутере - при подключении на телефоне сразу идет сбой. Откат до 4.3.7 не помог, т.к. сразу приложения L2TP, IKEv2 слетают после перезагрузки роутера, а при их установке - опять обновляется до 4.3.8(что за тема такая - до сих пор не понимаю, зачем так делать). Менял и сертификат KeenDNS, перелопатил кучу форумов, посмотрел, что в 4.3.8 затронули библиотеку OpenSSL. Скидывать на заводские настройки не хотелось, да и времени кучу потратил - решил обновиться до прошивки 5.0.12 - и о чудо - все подключения взлетели с первого раза, коннект стабильный. Я к чему - может кто еще столкнется с похожей проблемой - вот мне такое решение помогло. На всякий случай отключил автоматическое обновление -ибо стараюсь следовать правилу: работает - не трогай. Ну и разработчикам на посмотреть - может там ерундовая штука, которая быстро исправится.