Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

Перестал подключаться к VPN-серверу IKEv2 StrongSwan

nuzhinm
 Поделиться

Рекомендуемые сообщения

nuzhinm Пользователь

nuzhinm

Опубликовано
Опубликовано (изменено)

У меня клиент IKEv2 на keenetic hopper перестал подключаться к серверу StrongSwan IKEv2. Я предполагаю что после обновления ос роутера до версии 3.8.5
Другие клиенты (android, windows, ios) продолжают работать без проблем. Конфигурацию сервера не менял, конфигурацию клиента тоже.
Помогите разобраться в чем причина.

 

 

Изменено пользователем nuzhinm
nuzhinm Пользователь

nuzhinm

Опубликовано
  • Автор
Опубликовано

Помогает сброс настроек и создание соединения заново. Если восстановить настройки, то перестает работать даже если удалить и создать подключение заново.

nuzhinm Пользователь

nuzhinm

Опубликовано
  • Автор
Опубликовано

После сброса соединение проработало меньше суток и снова перестало устанавливаться.
Получается что в роутере накапливается какая-то информация которая в дальнейшем мешает установить соединение?

Поддержка настаивает чтобы я подгрузил в кинетик сертификат CA, но у меня нет сертификатов.

Сервер развернут с помощью скрипта jawj IKEv2. Он идентифицирует себя с помощью сертификата Let's Encrypt, поэтому клиентам не нужно устанавливать частные сертификаты — они могут просто аутентифицироваться с помощью имени пользователя и надежного пароля (EAP-MSCHAPv2)

И ведь все замечательно работало с апреля, а сейчас начались проблемы.

Помогайте разобраться, я в тупик зашёл. 

Во вложении лог с keenetic

log.txt

nuzhinm Пользователь

nuzhinm

Опубликовано
  • Автор
Опубликовано

При выполнении скрипта который разворачивает сервер strongSwan я вводил доменное имя сервера это нужно Let's Encrypt для создания SSL сертификата сервера.
И в логах, насколько я смог разобраться, видно что роутер его получает от сервера.
Я сомневаюсь что здесь дело в сертификате. Полгода роутер стабильно держал связь с сервером, а сейчас пересал. Другие клиенты на android, windows, ios продолжают стабильно работать.

[I] Sep 17 21:24:42 ipsec: 12[IKE] received end entity cert "CN=**.**.**.**.sslip.io" 
[I] Sep 17 21:24:42 ipsec: 12[CFG]   using certificate "CN=**.**.**.**.sslip.io" 
[I] Sep 17 21:24:42 ipsec: 12[CFG]   using trusted intermediate ca certificate "C=US, O=Let's Encrypt, CN=R3" 
[I] Sep 17 21:24:42 ipsec: 12[CFG] system time out of sync, skipping certificate lifetime check 
[I] Sep 17 21:24:42 ipsec: 12[CFG]   using trusted intermediate ca certificate "C=US, O=Internet Security Research Group, CN=ISRG Root X1" 
[I] Sep 17 21:24:42 ipsec: 12[CFG] system time out of sync, skipping certificate lifetime check 
[I] Sep 17 21:24:42 ipsec: 12[CFG] system time out of sync, skipping certificate lifetime check 
[I] Sep 17 21:24:42 ipsec: 12[CFG] no issuer certificate found for "C=US, O=Internet Security Research Group, CN=ISRG Root X1" 
[I] Sep 17 21:24:42 ipsec: 12[CFG]   issuer is "O=Digital Signature Trust Co., CN=DST Root CA X3" 
[I] Sep 17 21:24:42 ipsec: 09[CFG] rereading ca certificates from '/tmp/ipsec/ipsec.d/cacerts' 
[I] Sep 17 21:24:42 ipsec: 12[IKE] no trusted RSA public key found for '**.**.**.**.sslip.io' 
[E] Sep 17 21:24:42 ndm: IpSec::Configurator: unable to authenticate remote peer for crypto map "IKE0". 

Если я все правильно понимаю, то по логу видно, что клиент не доверяет полученному от сервера сертификату. Почему это вдруг начинает  происходить через некоторое время работы туннеля и как это исправить я не понимаю.

Вот статья как настроить VPN-сервер IKEv2 на Keenetic, вот статья как настроить VPN-клиента IKEv2 на Keenetic. При этом клиент доверяет серверу потому что для его домена keenetic.pro выпущен ssl сертификат, а сервер не требует от клиента никаких сертификатов.
Моя связка сервер-клиент работает также.

 

nuzhinm Пользователь

nuzhinm

Опубликовано
  • Автор
Опубликовано

Скачал сертификаты CA и самого сервера, добавлял по очереди в настройках соединения. Соединение не заработало.

2 часа назад, Goga777 сказал:

обновиться на 3.9 альфа9

Обновился, соединение установилось без подгрузки сертификатов. Буду наблюдать как оно будет работать.

nuzhinm Пользователь

nuzhinm

Опубликовано
  • Автор
Опубликовано

Не проверял, соединение устанавливалось без подгрузки сертификата.
На 3.9 альфа9 к кинетику перестал подключаться встроенный клиент на win7 по все тому же IKEv2 EAP.
Сейчас вернулся на 3.8.5. Поддержка запросила логи с сервера и селфтест роутера. Может что хорошее выйдет из этого.

nuzhinm Пользователь

nuzhinm

Опубликовано
  • Автор
Опубликовано

Вот прям сейчас откатил на 3.8.5. И тут же keenetic перестал подключаться к серверу strongSwan, зато встроенный клиент на win7 сходу соединился с kenetic.
Либо одно работает, либо другое )

nuzhinm Пользователь

nuzhinm

Опубликовано
  • Автор
Опубликовано

Поддержка подсказала как легко реанимировать соединение. Нужно выполнить команды:

(config)> no service ipsec
(config)> service ipsec

Просят несколько раз подряд выполнить эти команды, хотя и после первого введения соединение моментально поднимается.
Правда работает ~7 часов и опять пропадает.
Рекомендовали пока использовать другой протокол.

  • 2 месяца спустя...
Dr_DelProg Новичок

Dr_DelProg

Опубликовано
Опубликовано

Вот только нету в android 12 и strongswan других протоколов.. Разве что, пробовать перебирать сторонние приложения останется, если проблеме на решится, но судя по звёздочкам, качество там сильно хуже, чем у strongswan.

nuzhinm Пользователь

nuzhinm

Опубликовано
  • Автор
Опубликовано

Я обращался в поддержку, они подтвердили проблему. 

В описании к KeeneticOS 3.9 Beta 2 от 07/11/2022 есть : "Исправлена причина периодических отключений VPN-туннеля IKEv2. [NDM-2413]" 
Видио исправили, жду обновления до 3.9

  • 2 недели спустя...
Alexey Lyahkov Продвинутый пользователь

Alexey Lyahkov

Опубликовано
Опубликовано

>Правда работает ~7 часов и опять пропадает.

Ровно 8 часов.  Иногда идет ругань о том что такой же SA уже есть в ядре. По ощущениям ошибку притащили в 3.8.5 а пару релизов до этого - все работало как часы.

Alexey Lyahkov Продвинутый пользователь

Alexey Lyahkov

Опубликовано
Опубликовано

Судя по всему обновление на 3.9.1 - не решает проблему с периодическими отвалами ipsec. Обновил одну из точек на 3.9.1 - стало стабильнее - но 8 часов лимита у l2tp+ipsec никуда не пропали.

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю