4.3a3-a4. Не сохраняются настройки DNS в IKE-серверах

[lighting]

В Web-интерфейсе не сохраняются настройки DNS-сервера, в CLI команда crypto map VirtualIPServerIKE2 virtual-ip dns-server x.x.x.x не выполняется. Настройка dns-server  в CLI внезапно пропала, а она является одной из обязательной частью IKE-серверов, поэтому к роутеру через IKE-протоколы становиться подключиться невозможно.

P.S. На предыдущих версиях, если попытаться убрать DNS в IKE через Web-интерфейс, то кнопка "Сохранить" перестаёт быть активной, а если убрать через CLI, то IKE-сервер переходит в состояние "Не настроено", а обязательные пункты перекрашиваются в красный цвет. С 4.3а3 поле "DNS-сервер" стал почему-то опциональным (т.е. пустое поле позволяет сохранить)

Изменено 3 ноября пользователем lighting
Добавление информации

[Le ecureuil]

Спасибо за репорт, удалим поле.

Начиная с 4.3 в DNS-серверах больше нет такой настройки.

[lighting]

5 минут назад, Le ecureuil сказал:

Спасибо за репорт, удалим поле.

Начиная с 4.3 в DNS-серверах больше нет такой настройки.

По умолчанию будет проставляться 78.47.125.180? Просто я не смог со смартфона подключиться к роутеру через IKEv2. Откат до 4.2.1 помог.

[Le ecureuil]

4 часа назад, lighting сказал:

По умолчанию будет проставляться 78.47.125.180? Просто я не смог со смартфона подключиться к роутеру через IKEv2. Откат до 4.2.1 помог.

По умолчанию будут ставиться адреса с привязанного сегмента, как уже десяток лет работает для PPTP и других серверов.

Насчет невозможности коннекта - нужен селф-тест или хотя бы лог.

[lighting]

1 минуту назад, Le ecureuil сказал:

По умолчанию будут ставиться адреса с привязанного сегмента, как уже десяток лет работает для PPTP и других серверов.

Насчет невозможности коннекта - нужен селф-тест или хотя бы лог.

Попозже смогу вернуться на 4.3а4, попробую словить баг, вышлю селф-тест в скрытом сообщении

[Le ecureuil]

Спасибо за репорт, будет поправлено в следующей версии 4.3.

[lighting]

В 04.11.2024 в 11:40, Le ecureuil сказал:

Спасибо за репорт, удалим поле.

Начиная с 4.3 в DNS-серверах больше нет такой настройки.

На 4.3а6 поле осталось

Изменено 18 ноября пользователем lighting

[lighting]

Проблема с подключением не исправлена. Высылаю self-test на 4.3а6.

[Le ecureuil]

2 часа назад, lighting сказал:

Проблема с подключением не исправлена. Высылаю self-test на 4.3а6.

А у вас какое имя пользователя на клиенте введено? vpn или realme12? Потому что странно: у вас приходит EAP identity vpn, но при этом имя пользователя в RADIUS-пакете - realme12. Какое же из них верное?

И кстати, что за клиент у вас?

[lighting]

22 минуты назад, Le ecureuil сказал:

А у вас какое имя пользователя на клиенте введено? vpn или realme12? Потому что странно: у вас приходит EAP identity vpn, но при этом имя пользователя в RADIUS-пакете - realme12. Какое же из них верное?

И кстати, что за клиент у вас?

 Пользователь: vpn

IPSec идентификатор: realme12

Стандартный клиент, который в настройках телефона.

Если откат к 4.2.1, то всё нормально подключается. На 4.2.2 и 4.2.3 тоже норм.

[Le ecureuil]

Попробуйте поменять пользователя и идентификатор в настройках чисто для проверки. По результатам напишите.

[lighting]

3 часа назад, Le ecureuil сказал:

Попробуйте поменять пользователя и идентификатор в настройках чисто для проверки. По результатам напишите.

Поменял, не помогло. Попробовал разные режимы оптимизации, также никак не подключается. Self-тест выслал

[Le ecureuil]

Спасибо, понятно. Поправим.

[lighting]

4.3а7. Баг с подключением не исправлен, высылаю self-test.

[Le ecureuil]

В следующем релизе 4.3 должно быть исправлено.

Однако попрошу снять self-test с включенным system debug во время подключения этого клиента и прислать для уточнения сомнительных мест.

Также прошу проверить правильно ли показывает веб интерфейс имя пользователя в списке сессий.

[lighting]

2 часа назад, Le ecureuil сказал:

В следующем релизе 4.3 должно быть исправлено.

Однако попрошу снять self-test с включенным system debug во время подключения этого клиента и прислать для уточнения сомнительных мест.

Также прошу проверить правильно ли показывает веб интерфейс имя пользователя в списке сессий.

Высылаю self-test с режимом отладки

[Le ecureuil]

Да, большое спасибо.

Проверьте версию 4.3.а.8, и на ней тоже пришлите self-test.

[lighting]

В 29.11.2024 в 16:30, Le ecureuil сказал:

Да, большое спасибо.

Проверьте версию 4.3.а.8, и на ней тоже пришлите self-test.

Не хватало времени проверить на 4.3а8, проверил только сейчас на 4.3а10.1. Всё также не удаётся подключиться, высылаю селф-тест с дебагом в скрытом сообщении.

[Le ecureuil]

Да, большое спасибо.

Правильно делать так: в оба поля (они же "IPsec identitfier"/"Идентификатор IPsec" и "Username"/"Им пользователя") нужно обязательно вписать одно и то же значение, а именно имя пользователя. По идее андроид вообще не должен давать заполнять "IPsec identifier" (там написано "Не используется"), однако валидатор полей его требует и затем оно посылается на сервер, что вызывает проблемы.

[lighting]

18 часов назад, Le ecureuil сказал:

Да, большое спасибо.

Правильно делать так: в оба поля (они же "IPsec identitfier"/"Идентификатор IPsec" и "Username"/"Им пользователя") нужно обязательно вписать одно и то же значение, а именно имя пользователя. По идее андроид вообще не должен давать заполнять "IPsec identifier" (там написано "Не используется"), однако валидатор полей его требует и затем оно посылается на сервер, что вызывает проблемы.

Фикс вот этого всего получается не будет? Например, в 4.2.4 с разным логином и Индентификатором IPSec авторизируется прекрасно. Также например что делать, если у меня например несколько подключённых устройств к IKEv2 к одной учётной записи? Идентификатор должен быть уникальный, даже сам смысл слова "идентификатор" - что-то уникальное, персональное для чего-либо

[Le ecureuil]

Воспринимайте это как "раньше был баг, что принимало разные значения, а теперь он поправлен". Идентификаторы - это не то, что вам в голову может взбрести, это технически важные поля в протоколе, и мы их обрабатываем. То, что можно было вводить мусор и он не проверялся - было ошибкой.