4.2.1-4.3a3. Не удаётся соединить 2 роутера Keenetic по IKEv2.

[lighting]

Тестировалась попытка соединения через IKEv2 с Peak (4.2.1, 4.2.2) на Omni (4.2.1, 4.3 Alpha 3) и с Omni (4.3 Alpha 3) на Peak (4.2.1, 4.2.2) с целью получения доступа к локальной сети роутеров, указанных ранее. Попробовать подключиться на Omni до версии 4.3 Alpha 3 невозможно, т. к. не установлен модуль IKEv2-клиент, а если установить, то обновится до последней версии на ветке.

Подключение по IKEv2 возможно с других устройств, вводилось всюду доменное имя от KeenDNS с корректным логином и паролем. KeenDNS в режиме работы "Прямой доступ", с автоматически выданным сертификатом Let's Encrypt R10

В параметрах VPN-подключения указывалось:

1. Не использовать для выхода в интернет

2. Протокол IKEv2

3. Адрес сервера (домен, выданный KeenDNS)

4. Логин

5. Пароль

6. Автоматическая подстройка TCP MSS

 

После включения VPN, переходит в состояние "Неизвестно".

После выдачи в логах строк ниже, всё повторяется по кругу.

Цитата

KN-1410 (IKEv2-сервер)

[I] Oct 29 16:32:23 ipsec: 07[IKE] initiating EAP_MSCHAPV2 method (id 0x5A) 
[I] Oct 29 16:32:23 ipsec: 08[IKE] EAP-MS-CHAPv2 verification failed, retry (1)

 

KN-2710 (IKEv2-клиент)

[I] Oct 29 16:32:26 ipsec: 14[IKE] EAP-MS-CHAPv2 failed with error ERROR_AUTHENTICATION_FAILURE: '(null)' 
[I] Oct 29 16:32:26 ipsec: 14[IKE] EAP_MSCHAPV2 method failed

 

P. S. Также проверялось подключение по PPTP, проблем не возникло. Могу выслать self-testы в скрытом сообщении после попыток подключения по IKEv2

[Le ecureuil]

То есть по вашему утверждению, с сервера 4.3 на клиент 4.3 подключиться невозможно?

[lighting]

2 часа назад, Le ecureuil сказал:

То есть по вашему утверждению, с сервера 4.3 на клиент 4.3 подключиться невозможно?

Пик на 4.3а3 не проверялся, проверялся ток на 4.2.1 и 4.2.2, а так да.

Клиент 4.3а3 не может на сервер 4.2.2 и клиент 4.2.2 не может на сервер 4.2.1

P. S. Омни проверялся на 4.3а3 и 4.2.1

Изменено 29 октября пользователем lighting
Добавление информации

[Le ecureuil]

Спасибо за репорт, проверим.

[lighting]

С 4.3а4 на 4.2.2 - не подключается, пишет неправильный пароль (хотя для того же пользователя на PPTP подключает)

С 4.2.2 на 4.3а4 - не подключается.

[lighting]

Скорее всего понял в чём проблема. Для клиентов нужен "Индентификатор IPSec", а данного параметра нет.

[Le ecureuil]

В 03.11.2024 в 12:15, lighting сказал:

Скорее всего понял в чём проблема. Для клиентов нужен "Индентификатор IPSec", а данного параметра нет.

Покажите что вы имеете в виду.

[lighting]

В 04.11.2024 в 16:41, Le ecureuil сказал:

Покажите что вы имеете в виду.

Всё сказанное ниже является лишь моей гипотезой. Рассказываю как понял.

Предлагаю выслать селф-тест с Keenetic Omni (IKEv2-сервер) с корректным подключением к IKEv2 через Android и с неудачными попытками подключения с Keenetic Peak (4.2.2) на Omni (4.2.1) для сравнения, а также лог неудачного подключения с Keenetic Peak (IKEv2-клиент). Может чем-то поможет. Объяснение "на пальцах" вряд-ли поможет решить данный кейс. Также если возможно, можете сказать, смогли ли проверить репорт?

Скорее всего чуть поторопился с выводами 😒. Хоть параметра Идентификатор IPSec нет, но он отправляется как IP клиента. Если конечно добавят поле "Идентификатор IPSec", то это всего-лишь увеличит функционал клиента (ну вместо идентификатора, например 78.47.125.180 можно будет указать свой, например KEENETIC-ROUTER). Если идентификатор IPSec для VPN на телефоне заменить на его внешний IP, то соединение пройдёт удачно, поэтому скорее всего поторопился.

В настройках VPN-подключения IKEv2 MSCHAPv2 на Android требуют обязательно:

1) Имя соединения

2) Адрес сервера

3) Идентификатор IPSec (типа имя устройства, но в VPN-подключении)

4) Сертификаты. По поводу сертификатов, на KeenDNS выдаётся сертификат Let's Encrypt R10. В бинарнике сертификат ISRG Root X1, так что скорее всего проблема не в нём. На моём смартфоне указаны параметры для сертификатов "Не проверять сервер", "Принимать сертификат от сервера" (по умолчанию вписывается)

5) Логин и пароль

В это время Keenetic требует обязательно всё кроме пункта 3 и 4. По поводу пункта 4, роутер лишь предлагает добавить сертификат (как я понял если используется типа самописного сертификата).

[Le ecureuil]

Присоединении двух Keenetic в ролях клиента и сервера идентификатор не играет никакой роли, потому не думаю что он важен.