Jump to content
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

Не работает IKEv2 сервер при подключенном клиенте

South_butovo
 Share

Recommended Posts

South_butovo Newbie

South_butovo

Posted
Posted (edited)

Добрый день.

Помогите разобраться. 
На Гиге и на ультре наблюдается подобное поведение на последних прошивках.

1) На роутере поднят vpn сервер IKEv2 (стандартный - без сертификата СА). Настраивал всё по умолчанию через раздел приложения и компоненты.
Все клиенты win и android работают и коннектятся стабильно с доступом в локальную домашнюю сеть.

2) На отдельном сервере поднят другой впн ikev2 сервер (strongswan) c СА сертификатом. Роутер подключается к нему без проблем как клиент с доступом в интернет, но при этом перестает работать аутентификация клиентов из п.1. Т.е. при попытке клиентов достучаться до сервера впн на кинетике получаем ошибку аутентификации.

Для восстановления работы серверной части впн на кинетике надо отключить в разделе "другие подключения" коннект до другого сервера и ребутнуть роутер.
Только после этого заработает доступ к домашней сетке извне.

Лог ошибки ниже: 

Aug  9 15:17:13 11[ENC] parsed IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
Aug  9 15:17:13 11[IKE] received end entity cert "CN=***.keenetic.link"
Aug  9 15:17:13 11[CFG]   using certificate "CN=***.keenetic.link"
Aug  9 15:17:13 11[CFG] no issuer certificate found for "CN=***.keenetic.link"
Aug  9 15:17:13 11[CFG]   issuer is "C=US, O=Let's Encrypt, CN=R11"
Aug  9 15:17:13 11[IKE] no trusted RSA public key found for '***.keenetic.link'
Aug  9 15:17:13 11[ENC] generating INFORMATIONAL request 2 [ N(AUTH_FAILED) ]


Также есть отличие в длине ответа в пактах аутентификации.
При запущенном клиенте на кинетике (не работает серверная часть): 

Aug  9 15:17:13 11[ENC] parsed IKE_AUTH response 1 [ EF(1/2) ]

При выключенном клиенте на кинетике (работает доступ до локальной сети и аутентификация): 

Aug  9 15:22:42 08[ENC] parsed IKE_AUTH response 1 [ EF(1/3) ]

 

Edited by South_butovo
  • South_butovo changed the title to Не работает IKEv2 сервер при подключенном клиенте
South_butovo Newbie

South_butovo

Posted
  • Author
Posted

Может быть это связано с проблемой проверки сертификата домена 3го уровня?

Вот такую статью нашел
https://help.keenetic.com/hc/ru/articles/360020977339-В-каких-случаях-не-работает-продление-получение-SSL-сертификата-для-домена-службы-KeenDNS

Цитата

2. Не резолвится доменное имя CDN-сервера центра сертификации в связи с некорректной работой DNS-резолвера провайдера.
Решение: Настроить резолвинг через DoT/DoH DNS-адрес "Прокси-серверы DNS-over-TLS и DNS-over-HTTPS для шифрования DNS-запросов".

  • 5 months later...
KVA KVA Newbie

KVA KVA

Posted
Posted

Добрый день, столкнулся с этой же проблемой, вам удалась ее решить?

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.

  I accept