viterra Posted February 4, 2025 Posted February 4, 2025 KN-1012 с последней прошивкой. В "Другие подключения" работают два "IPsec-подключения сеть—сеть" Работает и хорошо "VPN-сервер L2TP/IPsec" Не работает IKEv2 vpn Со стороны сервера: [I] Jan 30 21:13:45 ndm: Core::Syslog: the system log has been cleared. [I] Jan 30 21:13:48 ipsec: 14[IKE] 94.25.228.37 is initiating an IKE_SA [I] Jan 30 21:13:48 ipsec: 14[CFG] received proposals: IKE:AES_CBC=192/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_4096 [I] Jan 30 21:13:48 ipsec: 14[CFG] configured proposals: IKE:AES_CBC=192/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_4096 [I] Jan 30 21:13:48 ipsec: 14[CFG] selected proposal: IKE:AES_CBC=192/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_4096 [I] Jan 30 21:13:48 ipsec: 14[IKE] remote host is behind NAT [I] Jan 30 21:13:48 ipsec: 09[CFG] looking for peer configs matching 188.242.111.111[%any]...94.25.228.37[Ksusha] [I] Jan 30 21:13:48 ipsec: 09[CFG] no matching peer config found [I] Jan 30 21:13:48 ipsec: 09[IKE] peer supports MOBIKE Со стороны клиента: Jan 30 21:11:22 00[DMN] Starting IKE service (strongSwan 5.9.14, Android 13 - RMX3085_11_F.12/2024-07-05, RMX3085 - realme/RMX3085RU/realme, Linux 4.19.191+, aarch64, org.strongswan.android) Jan 30 21:11:22 00[LIB] providers loaded by OpenSSL: default legacy Jan 30 21:11:22 00[LIB] loaded plugins: androidbridge charon android-log socket-default openssl nonce pkcs1 pem x509 xcbc kdf revocation eap-identity eap-mschapv2 eap-md5 eap-gtc eap-tls Jan 30 21:11:22 00[JOB] spawning 16 worker threads Jan 30 21:11:22 00[LIB] all OCSP validation disabled Jan 30 21:11:22 00[LIB] all CRL validation disabled Jan 30 21:11:22 07[IKE] initiating IKE_SA android[3] to 188.242.111.111 Jan 30 21:11:22 07[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ] Jan 30 21:11:22 07[NET] sending packet: from 10.112.109.216[46316] to 188.242.111.111[500] (720 bytes) Jan 30 21:11:22 08[NET] received packet: from 188.242.111.111[500] to 10.112.109.216[46316] (753 bytes) Jan 30 21:11:22 08[ENC] parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(HASH_ALG) N(CHDLESS_SUP) N(MULT_AUTH) ] Jan 30 21:11:22 08[CFG] selected proposal: IKE:AES_CBC_192/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_4096 Jan 30 21:11:22 08[IKE] local host is behind NAT, sending keep alives Jan 30 21:11:23 08[IKE] received 1 cert requests for an unknown ca Jan 30 21:11:23 08[IKE] establishing CHILD_SA android{2} Jan 30 21:11:23 08[ENC] generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) CPRQ(ADDR ADDR6 DNS DNS6) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ] Jan 30 21:11:23 08[NET] sending packet: from 10.112.109.216[52973] to 188.242.111.111[4500] (336 bytes) Jan 30 21:11:23 11[NET] received packet: from 188.242.111.111[4500] to 10.112.109.216[52973] (80 bytes) Jan 30 21:11:23 11[ENC] parsed IKE_AUTH response 1 [ N(AUTH_FAILED) ] Jan 30 21:11:23 11[IKE] received AUTHENTICATION_FAILED notify error Настройки пользователя и клиента strongswan на скриншотах ниже. Quote
viterra Posted February 4, 2025 Author Posted February 4, 2025 22 minutes ago, Le ecureuil said: Какая у вас версия на 1012? 4.2.5 МодельGiga (KN-1012) EAEU Quote
Skynet Posted February 4, 2025 Posted February 4, 2025 (edited) Добрый вечер. Giga kn-1012, прошивка 4.3 Beta 0.1, клиент на Android 12 работает отлично через strongSwan, клиент IOS 18.1 через стандартный профиль VPN IKEv2 не подключается, ошибка в логах: Edited February 4, 2025 by Skynet Quote
viterra Posted February 4, 2025 Author Posted February 4, 2025 (edited) У меня официальная последняя версия. Я сомневаюсь, что у меня одного такой баг. На версии 4.2.4 был такой же баг. Ниже не знаю, так как сразу после покупки я обновил на последнюю на тот момент 4.2.4. Edited February 4, 2025 by viterra Quote
Leshiyart Posted February 4, 2025 Posted February 4, 2025 1 час назад, Skynet сказал: Добрый вечер. Giga kn-1012, прошивка 4.3 Beta 0.1, клиент на Android 12 работает отлично через strongSwan, клиент IOS 18.1 через стандартный профиль VPN IKEv2 не подключается, ошибка в логах: Пересоздайте сервер, перепроставьте пользователям доступ к нему. Все работает и работало в этой же связке (iOS 18.3 правда) Quote
viterra Posted February 5, 2025 Author Posted February 5, 2025 (edited) Я уже пересоздавал. И пользователей в разном виде. Могу предоставить системный лог. Я натыкался на [CFG] no matching peer config found при создании туннелей с другими людьми. проблема была в том, что идентификация клиента не проходила и нужно было явно прописать его DN или IP. Тут же этого нет и идентификация должна проходить именно по имени пользователя, и оно видится: [I] Jan 30 21:13:48 ipsec: 09[CFG] looking for peer configs matching 188.242.111.111[%any]...94.25.228.37[Ksusha] , но сервер всё равно даёт отлуп. Забыл сказать, что пользователей создано трое. Может ли быть в этом проблема? Edited February 5, 2025 by viterra Quote
Leshiyart Posted February 5, 2025 Posted February 5, 2025 (edited) а почему в логе проскакивает keenetic.pro без поддомена? проверьте настройки клиента сервер и удаленный id надо указать keendns имя, полностью Edited February 5, 2025 by Leshiyart Quote
viterra Posted February 5, 2025 Author Posted February 5, 2025 1 hour ago, Leshiyart said: а почему в логе проскакивает keenetic.pro без поддомена? проверьте настройки клиента сервер и удаленный id надо указать keendns имя, полностью Если честно, я не понял о чем речь. "keenetic.pro" Такого вообще нет. Пожалуйста, можно поподробнее? Quote
Leshiyart Posted February 5, 2025 Posted February 5, 2025 18 часов назад, Skynet сказал: Добрый вечер. Giga kn-1012, прошивка 4.3 Beta 0.1, клиент на Android 12 работает отлично через strongSwan, клиент IOS 18.1 через стандартный профиль VPN IKEv2 не подключается, ошибка в логах: забыл процитировать кому отвечал Quote
Le ecureuil Posted February 5, 2025 Posted February 5, 2025 22 часа назад, viterra сказал: 4.2.5 МодельGiga (KN-1012) EAEU Стоит проверять только на 4.3, на 4.2 смысла нет. Quote
Le ecureuil Posted February 5, 2025 Posted February 5, 2025 8 часов назад, viterra сказал: Я уже пересоздавал. И пользователей в разном виде. Могу предоставить системный лог. Я натыкался на [CFG] no matching peer config found при создании туннелей с другими людьми. проблема была в том, что идентификация клиента не проходила и нужно было явно прописать его DN или IP. Тут же этого нет и идентификация должна проходить именно по имени пользователя, и оно видится: [I] Jan 30 21:13:48 ipsec: 09[CFG] looking for peer configs matching 188.242.111.111[%any]...94.25.228.37[Ksusha] , но сервер всё равно даёт отлуп. Забыл сказать, что пользователей создано трое. Может ли быть в этом проблема? Вообще и правда странно, почему у вас такой ID вылезает. Можете скриншот страницы настройки в iOS показать, слегка замазав поля, чтобы было понятно что и куда вы вводили? И self-test в скрытом посте тоже не помешает. Quote
viterra Posted February 6, 2025 Author Posted February 6, 2025 15 hours ago, Le ecureuil said: Вообще и правда странно, почему у вас такой ID вылезает. Можете скриншот страницы настройки в iOS показать, слегка замазав поля, чтобы было понятно что и куда вы вводили? И self-test в скрытом посте тоже не помешает. Опять не тому ответили? У меня клиент на андроид. Скриншоты в первом посту. self-test вечером выложу. Quote
viterra Posted February 6, 2025 Author Posted February 6, 2025 15 hours ago, Le ecureuil said: Стоит проверять только на 4.3, на 4.2 смысла нет. То есть на 4.2 официально есть баг с ikev2? Quote
Le ecureuil Posted February 6, 2025 Posted February 6, 2025 3 часа назад, viterra сказал: То есть на 4.2 официально есть баг с ikev2? На 4.2 официально все работает. Исправления всегда начинаются с проверки и исправления на тестовой версии, и потом они переносятся в более старые если нужно. Quote
Le ecureuil Posted February 6, 2025 Posted February 6, 2025 @viterraнаконец-то установил strongswan и проверил. Говорится же в известном: "многие знания - великие печали". Зачем вы полезли заполнять поля "Server identity" и "Client identity"? Правильная (и достаточная) конфигурация strongswan состоит из трех полей: адрес сервера, логин, пароль. Все! Больше ничего не было нужно никогда, пожалуйста, не трогайте другие поля если не понимаете их смысл на 100%. 1 1 Quote
Le ecureuil Posted February 6, 2025 Posted February 6, 2025 Если вы используете встроенный в андроид клиент, то тоже достаточно всего 4 полей: Server address, IPSec Identitfier (вписываете сюда логин пользователя, по идее поле необязательное, но валидатор андроида без него дальше не пустит), логин и пароль. Все. 1 Quote
Le ecureuil Posted February 6, 2025 Posted February 6, 2025 В 04.02.2025 в 21:11, Skynet сказал: Добрый вечер. Giga kn-1012, прошивка 4.3 Beta 0.1, клиент на Android 12 работает отлично через strongSwan, клиент IOS 18.1 через стандартный профиль VPN IKEv2 не подключается, ошибка в логах: Для iOS аналогично: заполняете поля Сервер и Удаленный ID согласно вашему адресу сервера, логин пароль еще вводите и все. Как на картинке. 1 Quote
viterra Posted February 7, 2025 Author Posted February 7, 2025 15 hours ago, Le ecureuil said: Говорится же в известном: "многие знания - великие печали". Зачем вы полезли заполнять поля "Server identity" и "Client identity"? Правильная (и достаточная) конфигурация strongswan состоит из трех полей: адрес сервера, логин, пароль. Все! Больше ничего не было нужно никогда, пожалуйста, не трогайте другие поля если не понимаете их смысл на 100%. Здравствуйте! Я пробовал данные поля в разных сочетаниях, в том числе и пустыми оставлять. Quote
Le ecureuil Posted February 7, 2025 Posted February 7, 2025 Попробуйте проверить следующую комбинацию: - последняя версия 4.3, включен crypto ipsec debug - свежесозданное подключение только с 3 этими полями И если не работает, то прислать self-test после неудачных попыток. Quote
viterra Posted February 8, 2025 Author Posted February 8, 2025 On 2/7/2025 at 11:45 AM, Le ecureuil said: Попробуйте проверить следующую комбинацию: - последняя версия 4.3, включен crypto ipsec debug - свежесозданное подключение только с 3 этими полями И если не работает, то прислать self-test после неудачных попыток. Попробовал только с 3мя полями и удалил всех пользователей, кроме одного - 0. Лог в скрытом будет. Quote
Le ecureuil Posted February 10, 2025 Posted February 10, 2025 Так у нас с вами ничего не выйдет, на версии 4.2 проверять уже нет смысла, равно как и без debug. Quote
viterra Posted February 11, 2025 Author Posted February 11, 2025 6 hours ago, Le ecureuil said: Так у нас с вами ничего не выйдет, на версии 4.2 проверять уже нет смысла, равно как и без debug. То есть достаточно будет перезапустить роутер с отладочным режимом? Или нужно ОБЯЗАТЕЛЬНО обновиться на непонятную 4.3 ? On 2/8/2025 at 12:11 PM, viterra said: crypto ipsec debug Я видел опцию запуска роутера с полным debug А это я не знаю как сделать. Quote
Le ecureuil Posted February 11, 2025 Posted February 11, 2025 5 часов назад, viterra сказал: То есть достаточно будет перезапустить роутер с отладочным режимом? Или нужно ОБЯЗАТЕЛЬНО обновиться на непонятную 4.3 ? Я видел опцию запуска роутера с полным debug А это я не знаю как сделать. Если не готовы продолжать на 4.3, тогда просто обождите пока она не станет стабильной. Полный дебаг никогда без явной просьбы включать не надо, не понимаю зачем все в него лезут. Залог быстрого решения проблем - четкое следование инструкциям, если не готовы - значит только ждать. Quote
MDP Posted February 11, 2025 Posted February 11, 2025 (edited) Есть идея )))) ...разработчикам на своих железяках с определённой версией ПО разрешить подключение к определённому адресу по разным протоколам...vpn для проверки (хотя бы для диагностики клиента) Ну например @vaskin попробуй подключись со своим клиентом к тестовому серверу xxx.yyy.xxx.zzz имя и пароль...я думаю понимания было бы больше в чём проблема. нет? Ну и в "шапке" записать, что-бы сначала проверили на стенде... )))) Edited February 11, 2025 by MDP Quote
Le ecureuil Posted February 11, 2025 Posted February 11, 2025 Слишком много конфигураций, которые невозможно придумать с разбега. Вот предположим есть такой стенд, у человека к нему подключается и работает, а к своему устройству - вообще нет. И что? Это, по сути, дает ровно ноль новой информации и не упрощает отладку. Quote
MDP Posted February 11, 2025 Posted February 11, 2025 Дать человеку свой конфиг подгрузить.... ну да... бредовая немного идея.... но стоит подумать. тплинки делали же эмулятор... стоит и вам придумать. Quote
viterra Posted February 12, 2025 Author Posted February 12, 2025 18 hours ago, Le ecureuil said: Если не готовы продолжать на 4.3, тогда просто обождите пока она не станет стабильной. Пара вопросов: 1. Как на неё обновиться? В обновлениях что-то другое выбрать или файлом? 2. Текущий конфиг будет сохранён? Дополнительные пакеты OPKG затронет? 3. При переходе обратно на 4.2 конфиг не попортится? Quote
Nicko McBrain Posted February 12, 2025 Posted February 12, 2025 1 час назад, viterra сказал: Как на неё обновиться? Выбрать канал обновления "Канал разработчика" 1 час назад, viterra сказал: Текущий конфиг будет сохранён? Сделать бэкап (предложит перед обновлением) Quote
viterra Posted February 12, 2025 Author Posted February 12, 2025 14 minutes ago, stefbarinov said: Сделать бэкап (предложит перед обновлением) Я вообще не это имел в виду. Там поднято куча приложений, OPKG и прочее. Нужно что бы это всё продолжило работать... Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.