4.3 а14 не работает IKEv1/IPsec VPN-сервер

[Leshiyart]

после обновления с 4.2.5 на 4.3а14 перестало подключаться к впн серверу /apps/vpn-ikev1

[Denis P]

+ тоже перестал работать

при подключении с телефона в журнале ошибка на сервере

08[IKE] Aggressive Mode PSK disabled for security reasons

при подключении с другого кинетика

10[IKE] linked key for crypto map '(unnamed)' is not found, still searching
11[CFG] looking for XAuthInitPSK peer configs matching 

на клиенте

ndm
IpSec::Configurator: "IKE0": remote ID mismatch.

 

[Leshiyart]

на 4.3б0.1 с ios подключение заработало, но если есть tag ipsec-xauth то авторизация происходит независимо от проставленных галок на ike1  и ike2.
я так понимаю это больше не надо использовать

[Le ecureuil]

1 час назад, Leshiyart сказал:

на 4.3б0.1 с ios подключение заработало, но если есть tag ipsec-xauth то авторизация происходит независимо от проставленных галок на ike1  и ike2.
я так понимаю это больше не надо использовать

Да, для совместимости авторизует с обоих тегов, то есть с ipsec-xauth и с ikev1, но предпочтительно пользоваться ikev1 теперь. Веб тоже в него сохраняет новые настройки.

[Goryaev Dmitrii]

VPN-сервер L2TP/IPsec на KN-1811 4.2.5 тоже ругается, клиенты перестают подключаться, спустя какое-то время на
 

[IKE] linked key for crypto map '(unnamed)' is not found, still searching

Спойлер

[IKE] received NAT-T (RFC 3947) vendor ID 
[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID 
[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID 
[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID 
[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID 
[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID 
[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID 
[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID 
[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
[IKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID 
[IKE] received Cisco Unity vendor ID 
[IKE] received DPD vendor ID 
[IKE] x.x.x.x is initiating a Main Mode IKE_SA 
[CFG] received proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 
[CFG] configured proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_768, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:DES_CBC/HMAC_SHA1_96/PRF [...]
[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 
[IKE] sending XAuth vendor ID 
[IKE] sending DPD vendor ID 
[IKE] sending NAT-T (RFC 3947) vendor ID 
[IKE] remote host is behind NAT 
[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
[JOB] deleting half open IKE_SA with x.x.x.x after timeout 

 

Изменено 9 февраля, 2025 пользователем Goryaev Dmitrii

[Totoro]

В 09.02.2025 в 08:36, Goryaev Dmitrii сказал:

VPN-сервер L2TP/IPsec на KN-1811 4.2.5 тоже ругается, клиенты перестают подключаться, спустя какое-то время на
 

[IKE] linked key for crypto map '(unnamed)' is not found, still searching

  Показать контент

[IKE] received NAT-T (RFC 3947) vendor ID 
[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID 
[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID 
[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID 
[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID 
[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID 
[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID 
[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID 
[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
[IKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID 
[IKE] received Cisco Unity vendor ID 
[IKE] received DPD vendor ID 
[IKE] x.x.x.x is initiating a Main Mode IKE_SA 
[CFG] received proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 
[CFG] configured proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_768, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:DES_CBC/HMAC_SHA1_96/PRF [...]
[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 
[IKE] sending XAuth vendor ID 
[IKE] sending DPD vendor ID 
[IKE] sending NAT-T (RFC 3947) vendor ID 
[IKE] remote host is behind NAT 
[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
[JOB] deleting half open IKE_SA with x.x.x.x after timeout 

 

Вам  удалось починить эту проблему?

[Goryaev Dmitrii]

В 20.05.2026 в 02:12, Totoro сказал:

Вам  удалось починить эту проблему?

Нет, в поддержке ссылаются на блокировки со стороны оператора РТ.
В последнее время не так часто возникает, но случается.

Стоило только ответить, и проблема почти каждый день началась)
Проблема какая-то на стороне роутера.
Отваливаются все клиенты, не подключаются

На сторое клиента keenetic в логах вот такое
 

Спойлер

[I] Jun 10 14:41:56 ipsec: 15[IKE] sending retransmit 1 of request message ID 0, seq 1 
[I] Jun 10 14:42:05 ipsec: 13[IKE] sending retransmit 2 of request message ID 0, seq 1 
[I] Jun 10 14:42:15 ipsec: 05[IKE] sending retransmit 3 of request message ID 0, seq 1 
[I] Jun 10 14:42:26 ipsec: 06[IKE] sending retransmit 4 of request message ID 0, seq 1 
[I] Jun 10 14:42:37 ipsec: 09[IKE] sending retransmit 5 of request message ID 0, seq 1 
[I] Jun 10 14:42:50 ipsec: 05[IKE] sending retransmit 6 of request message ID 0, seq 1 
[I] Jun 10 14:43:04 ipsec: 07[IKE] sending retransmit 7 of request message ID 0, seq 1 
[I] Jun 10 14:43:20 ipsec: 07[IKE] sending retransmit 8 of request message ID 0, seq 1 

Пробовал в целях диагностики
Отключать и включать компонент VPN-сервер L2TP/IPsec. Без изменений.
Отключать PPPoE. Без изменений.
Отключать сетевой кабель физически. Часть клиентов смогла подключиться.
Перезагрузка роутера. Все клиенты подключились.

На прошивках 5.* всё так же

Изменено Среда в 09:00 пользователем Goryaev Dmitrii