Настройка IKEv2/IPSec MSCHAPv2 на Android 12

[vasek00]

9 минут назад, Петька и Василий Иванович сказал:

У меня есть сторонний vpn-клиент платный, в том числе поддерживает WG.

Проверил WG на скорую руку в итоге как вы и хотите. WG Android использовал из Google Play (но он уже стоял ранее), настройка 30минут.

Самсунг[WG] ---- wifi/4G --- Keenetic1 ------------- [WG]Keenetic2

Почему хочу IKEv2? Только он реализован во встроенном клиенте Самсунга, а это значит есть нормальная поддержка в "Режимы и сценарии" Самсунга.

Тут да

Изменено 27 февраля, 2024 пользователем vasek00

[Илья Хрупалов]

On 2/27/2024 at 9:28 AM, Петька и Василий Иванович said:

У меня есть сторонний vpn-клиент платный, в том числе поддерживает WG.

Почему хочу IKEv2? Только он реализован во встроенном клиенте Самсунга, а это значит есть нормальная поддержка в "Режимы и сценарии" Самсунга.

Почему не соединю роутеры? Да просто на работе не имею доступа к их сетевой инфраструктуре, да и смысла нет. И из-за сильных безопасников приходится использовать IKEv2 через свой домашний роутер.

Настроил на недавно обновившемся до Android 14 + OneUI6 самсунге. Всё работает, то есть нативный клиент. Кому-то интересно? 

[Deadlock]

В 05.03.2024 в 01:34, Илья Хрупалов сказал:

Кому-то интересно? 

Мне интересно!

[Петька и Василий Иванович]

@Deadlock

Сервер настраивается так: https://help.keenetic.com/hc/ru/articles/360017022999-VPN-сервер-IKEv2

Клиент Самсунга: 

Можете альтернативный клиент настроить (если встроенный не нравится): https://help.keenetic.com/hc/ru/articles/8866287233180-Подключение-к-VPN-серверу-IKEv2-из-Android

 

[Илья Хрупалов]

On 3/12/2024 at 1:13 PM, Deadlock said:

Мне интересно!

Сервер настраиваете по статье.

Далее в самом смартфоне так, как на скриншоте:

Имя/название -- любое.

Адрес сервера -- у меня срабатывает и KeenDNS-имя, и белый IP-адрес.

Индентификатор IPSec -- может быть написано что угодно.

Имя пользователя и пароль -- от настроенного на доступ пользователя в кинетике.

 

[Дима Федоров]

В 26.02.2024 в 22:52, vasek00 сказал:

Галки на множественном доступе нет. Видимо у вас невозможно, пробовал два раза, теперь опишу чуток, в итоге на п.4 вопросов нет.

1. Смартфон подклен по wifi к роутеру 192.168.130.6

2. Включите в телефоне ikev2 - а в ответ тишина, так и весим на wifi, на IKEv2 проблема

  Скрыть содержимое

Фев 26 22:40:01 ipsec 14[IKE] 192.168.130.6 is initiating an IKE_SA
...
Фев 26 22:40:01 ipsec 14[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Фев 26 22:40:01 ipsec 14[IKE] remote host is behind NAT
Фев 26 22:40:01 ipsec 14[IKE] DH group MODP_2048_256 unacceptable, requesting MODP_2048

 

3. Отключаю wifi на нем.

4. Включаю на телефоне ikev2 - все Ок.

Если надо могу и тут лог приложить п.4. Мало того могу сказать, что если на п.2 в момент попыток подключения отключить wifi то wifi пропадает и также IKEv2 уходит в отключено. Так что к п.4 смартфон готов к подключению потому что wifi выключен.Это к вопросу 

т.к. в Кинетике, после пункта 3 остается висящее соединение

нет ни какого висящего соединения после п.3 - ни wifi ни IKEv2.

Кто нибудь решил вопрос?

[Дмитрий C.]

Я перепробовал пожалуй все возможные варианты и комбинации - результат нулевой. Samsung S23 упорно не хочет. В теме на 4пда я не увидел счастливчиков кому удалось. 

[Дима Федоров]

16 минут назад, Дмитрий C. сказал:

Я перепробовал пожалуй все возможные варианты и комбинации - результат нулевой. Samsung S23 упорно не хочет. В теме на 4пда я не увидел счастливчиков кому удалось. 

Дело даже не в Samsung. Когда телефон подключен к Wi-Fi сети Роутера на котором установлен VPN-server, VPN не подключается. Когда перехожу на мобильные данные VPN подключается. Хотелось бы использовать функцию Always-on VPN.

[Петька и Василий Иванович]

@Дима Федоров

Не имеет никакого смысла пытаться сидеть в домашенем Wi-Fi с IKEv2, подключаясь к этому роутеру. Вообще бессмысленно и невозможно.

Как выход - используйте на Самсунге "Режимы и сценарии". Они как раз поддерживают родной клиент IKEv2.

 

PS

Техподдержка сообщила, что MOBIKE планируется внедрить в 4.2. Будет кучеряво.

А пока необходимо использовать на сервере "Множественный вход".

Изменено 20 марта, 2024 пользователем Петька и Василий Иванович

[Deadlock]

А вот что пишут Strongswan'овцы, почему не работает чистый Андрюша )
 
Согласно проекту EAP-MSCHAPv2 , ключи выводятся согласно RFC 3079 (MPPE). В результате получается два 128-битных ключа: MasterSendKey и MasterReceiveKey (т.е. всего 32 октета). Однако согласно RFC 5247 MSK для методов EAP ДОЛЖЕН быть не менее 64 октетов , поэтому эти ключи необходимо каким-то образом дополнить.
 
Первые бета-версии Windows 7 еще в 2009 году (именно это мы и тестировали, когда реализовывали EAP-MSCHAPv2) делали это следующим образом: MasterReceiveKey|16 zero bytes|MasterReceiveKey|16 zero bytes. Но в версии-кандидате Windows 7 это было изменено на: MasterReceiveKey|MasterReceiveKey|32 zero bytes, которое с тех пор используем мы и другие реализации. Поэтому, пока Google не исправит свой клиент соответствующим образом, вы не сможете подключиться.

[Дмитрий C.]

В 20.03.2024 в 17:51, Дмитрий C. сказал:

Я перепробовал пожалуй все возможные варианты и комбинации - результат нулевой. Samsung S23 упорно не хочет. В теме на 4пда я не увидел счастливчиков кому удалось. 

Смирившись что мой Самсунг упорно желает коннектится к Кинетику, я решил произвести эксперимент - поднял свой IKEv2/IPSec сервер на VPS (с помощью демона StrongSwan, с выпуском сертификатов и т.п.) и попробовать. Сертификаты успешно затянулись и Самсунгом и клиентом StrongSwan.

Итоги эксперимента - встроенный клиент и клиент StrongSwan при подключении к сети wifi дома успешно работают - смарт получает айпи...и .т.д.

А вот при использовании 4G (разных операторов) сторонний работает, а встроенный не конектится блт...(((. Мир загадок и чудес. Может кто подскажет куда копать?

Дополнение.

Беру сим-карту и вставляю ее в мобильный роутер, подключаюсь к его wifi сети и оба клиента работают. 

 

 

 

Изменено 22 марта, 2024 пользователем Дмитрий C.
дополнил

[Виталий Шадрин]

По поводу подвисающих сессий IKEv2 и мультилогина в версии ОС 4.2 на Keenetic Peak проблема сохраняется. 

Для её воспроизведения нужно:

1. Двухсимочный смартфон.

2. Подключаемся серверу VPN при включеной передаче мобильных данных с первой сим-карты. Соединение устанавливается штатно.

3. Не выключая VPN-соединения переключаем на смартфоне передачу мобильных данных на вторую симкарту. VPN соединение остаётся установленным, в логах Keenetic идёт сообщение о смене IP-адреса клиента. Трафик через VPN-соединение перестаёт ходить.

4. Отключаем VPN-соединение на смартфоне. На Keenetic сессия остаётся висеть на веки вечные, пока не перезгрузишь его или не выполнишь в консоли "no service ipsec", "service ipseс".

 

Изменено 1 ноября, 2024 пользователем Виталий Шадрин

[Петька и Василий Иванович]

У меня сессия по таймауту закрывается. Но да, Mobike на Кинетике не работает.

Как костыль - мультилогин.

[std847]

На дворе 2025 год, а ikev2 по прежнему- тыква.

Убрав l2tp, просто забили гвоздь в крышку vpn. Хочется много писать матом, но я культурный. Негодяи!

ПыСы, на микроте тоже поднимал ikev2, результат тот же.

Как вариант для настоящего времени- выводить все серваки и рабочие станции наружу, очень безопасно

Изменено 13 часов назад пользователем std847

[Виталий Шадрин]

Я для себя изыскания с IKEv2 закончил.

Перешёл на использование WireGuard. На нём без проблем настроить и site-to-site соединения и подключение мобильного клиента.