Jump to content

Question

Posted

Тестировалась попытка соединения через IKEv2 с Peak (4.2.1, 4.2.2) на Omni (4.2.1, 4.3 Alpha 3) и с Omni (4.3 Alpha 3) на Peak (4.2.1, 4.2.2) с целью получения доступа к локальной сети роутеров, указанных ранее. Попробовать подключиться на Omni до версии 4.3 Alpha 3 невозможно, т. к. не установлен модуль IKEv2-клиент, а если установить, то обновится до последней версии на ветке.

Подключение по IKEv2 возможно с других устройств, вводилось всюду доменное имя от KeenDNS с корректным логином и паролем. KeenDNS в режиме работы "Прямой доступ", с автоматически выданным сертификатом Let's Encrypt R10

В параметрах VPN-подключения указывалось:

1. Не использовать для выхода в интернет

2. Протокол IKEv2

3. Адрес сервера (домен, выданный KeenDNS)

4. Логин

5. Пароль

6. Автоматическая подстройка TCP MSS

 

После включения VPN, переходит в состояние "Неизвестно".

После выдачи в логах строк ниже, всё повторяется по кругу.

Цитата

KN-1410 (IKEv2-сервер)

[I] Oct 29 16:32:23 ipsec: 07[IKE] initiating EAP_MSCHAPV2 method (id 0x5A) 
[I] Oct 29 16:32:23 ipsec: 08[IKE] EAP-MS-CHAPv2 verification failed, retry (1)

 

KN-2710 (IKEv2-клиент)

[I] Oct 29 16:32:26 ipsec: 14[IKE] EAP-MS-CHAPv2 failed with error ERROR_AUTHENTICATION_FAILURE: '(null)' 
[I] Oct 29 16:32:26 ipsec: 14[IKE] EAP_MSCHAPV2 method failed

 

P. S. Также проверялось подключение по PPTP, проблем не возникло. Могу выслать self-testы в скрытом сообщении после попыток подключения по IKEv2

8 answers to this question

Recommended Posts

  • 0
Posted (edited)
2 часа назад, Le ecureuil сказал:

То есть по вашему утверждению, с сервера 4.3 на клиент 4.3 подключиться невозможно?

Пик на 4.3а3 не проверялся, проверялся ток на 4.2.1 и 4.2.2, а так да.

Клиент 4.3а3 не может на сервер 4.2.2 и клиент 4.2.2 не может на сервер 4.2.1

P. S. Омни проверялся на 4.3а3 и 4.2.1

Edited by lighting
Добавление информации
  • 0
Posted

С 4.3а4 на 4.2.2 - не подключается, пишет неправильный пароль (хотя для того же пользователя на PPTP подключает)

С 4.2.2 на 4.3а4 - не подключается.

  • 0
Posted

Скорее всего понял в чём проблема. Для клиентов нужен "Индентификатор IPSec", а данного параметра нет.

  • 0
Posted
В 03.11.2024 в 12:15, lighting сказал:

Скорее всего понял в чём проблема. Для клиентов нужен "Индентификатор IPSec", а данного параметра нет.

Покажите что вы имеете в виду.

  • 0
Posted
В 04.11.2024 в 16:41, Le ecureuil сказал:

Покажите что вы имеете в виду.

Всё сказанное ниже является лишь моей гипотезой. Рассказываю как понял.

Предлагаю выслать селф-тест с Keenetic Omni (IKEv2-сервер) с корректным подключением к IKEv2 через Android и с неудачными попытками подключения с Keenetic Peak (4.2.2) на Omni (4.2.1) для сравнения, а также лог неудачного подключения с Keenetic Peak (IKEv2-клиент). Может чем-то поможет. Объяснение "на пальцах" вряд-ли поможет решить данный кейс. Также если возможно, можете сказать, смогли ли проверить репорт?

Скорее всего чуть поторопился с выводами 😒. Хоть параметра Идентификатор IPSec нет, но он отправляется как IP клиента. Если конечно добавят поле "Идентификатор IPSec", то это всего-лишь увеличит функционал клиента (ну вместо идентификатора, например 78.47.125.180 можно будет указать свой, например KEENETIC-ROUTER). Если идентификатор IPSec для VPN на телефоне заменить на его внешний IP, то соединение пройдёт удачно, поэтому скорее всего поторопился.

В настройках VPN-подключения IKEv2 MSCHAPv2 на Android требуют обязательно:

1) Имя соединения

2) Адрес сервера

3) Идентификатор IPSec (типа имя устройства, но в VPN-подключении)

4) Сертификаты. По поводу сертификатов, на KeenDNS выдаётся сертификат Let's Encrypt R10. В бинарнике сертификат ISRG Root X1, так что скорее всего проблема не в нём. На моём смартфоне указаны параметры для сертификатов "Не проверять сервер", "Принимать сертификат от сервера" (по умолчанию вписывается)

5) Логин и пароль

В это время Keenetic требует обязательно всё кроме пункта 3 и 4. По поводу пункта 4, роутер лишь предлагает добавить сертификат (как я понял если используется типа самописного сертификата).

  • 0
Posted

Присоединении двух Keenetic в ролях клиента и сервера идентификатор не играет никакой роли, потому не думаю что он важен.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.