IKEv2/ipsec vpn [CFG] no matching peer config found

[viterra]

KN-1012 с последней прошивкой.

В "Другие подключения" работают два "IPsec-подключения сеть—сеть"

Работает и хорошо "VPN-сервер L2TP/IPsec"

Не работает IKEv2 vpn

Со стороны сервера:
 
[I] Jan 30 21:13:45 ndm: Core::Syslog: the system log has been cleared. 
[I] Jan 30 21:13:48 ipsec: 14[IKE] 94.25.228.37 is initiating an IKE_SA 
[I] Jan 30 21:13:48 ipsec: 14[CFG] received proposals: IKE:AES_CBC=192/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_4096 
[I] Jan 30 21:13:48 ipsec: 14[CFG] configured proposals: IKE:AES_CBC=192/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_4096 
[I] Jan 30 21:13:48 ipsec: 14[CFG] selected proposal: IKE:AES_CBC=192/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_4096 
[I] Jan 30 21:13:48 ipsec: 14[IKE] remote host is behind NAT 
[I] Jan 30 21:13:48 ipsec: 09[CFG] looking for peer configs matching 188.242.111.111[%any]...94.25.228.37[Ksusha] 
[I] Jan 30 21:13:48 ipsec: 09[CFG] no matching peer config found 
[I] Jan 30 21:13:48 ipsec: 09[IKE] peer supports MOBIKE 
 
Со стороны клиента:
 
Jan 30 21:11:22 00[DMN] Starting IKE service (strongSwan 5.9.14, Android 13 - RMX3085_11_F.12/2024-07-05, RMX3085 - realme/RMX3085RU/realme, Linux 4.19.191+, aarch64, org.strongswan.android)
Jan 30 21:11:22 00[LIB] providers loaded by OpenSSL: default legacy
Jan 30 21:11:22 00[LIB] loaded plugins: androidbridge charon android-log socket-default openssl nonce pkcs1 pem x509 xcbc kdf revocation eap-identity eap-mschapv2 eap-md5 eap-gtc eap-tls
Jan 30 21:11:22 00[JOB] spawning 16 worker threads
Jan 30 21:11:22 00[LIB] all OCSP validation disabled
Jan 30 21:11:22 00[LIB] all CRL validation disabled
Jan 30 21:11:22 07[IKE] initiating IKE_SA android[3] to 188.242.111.111
Jan 30 21:11:22 07[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Jan 30 21:11:22 07[NET] sending packet: from 10.112.109.216[46316] to 188.242.111.111[500] (720 bytes)
Jan 30 21:11:22 08[NET] received packet: from 188.242.111.111[500] to 10.112.109.216[46316] (753 bytes)
Jan 30 21:11:22 08[ENC] parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(HASH_ALG) N(CHDLESS_SUP) N(MULT_AUTH) ]
Jan 30 21:11:22 08[CFG] selected proposal: IKE:AES_CBC_192/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_4096
Jan 30 21:11:22 08[IKE] local host is behind NAT, sending keep alives
Jan 30 21:11:23 08[IKE] received 1 cert requests for an unknown ca
Jan 30 21:11:23 08[IKE] establishing CHILD_SA android{2}
Jan 30 21:11:23 08[ENC] generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) CPRQ(ADDR ADDR6 DNS DNS6) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
Jan 30 21:11:23 08[NET] sending packet: from 10.112.109.216[52973] to 188.242.111.111[4500] (336 bytes)
Jan 30 21:11:23 11[NET] received packet: from 188.242.111.111[4500] to 10.112.109.216[52973] (80 bytes)
Jan 30 21:11:23 11[ENC] parsed IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Jan 30 21:11:23 11[IKE] received AUTHENTICATION_FAILED notify error
 

Настройки пользователя и клиента strongswan на скриншотах ниже.

[Le ecureuil]

Какая у вас версия на 1012?

[viterra]

22 minutes ago, Le ecureuil said:

Какая у вас версия на 1012?

4.2.5

МодельGiga (KN-1012) EAEU

[Skynet]

Добрый вечер. Giga kn-1012, прошивка 4.3 Beta 0.1, клиент на Android 12 работает отлично через strongSwan, клиент IOS 18.1 через стандартный профиль VPN IKEv2 не подключается, ошибка в логах: 

Изменено 4 февраля пользователем Skynet

[viterra]

У меня официальная последняя версия. Я сомневаюсь, что у меня одного такой баг. На версии 4.2.4 был такой же баг. Ниже не знаю, так как сразу после покупки я обновил на последнюю на тот момент 4.2.4.

Изменено 4 февраля пользователем viterra

[Leshiyart]

1 час назад, Skynet сказал:

Добрый вечер. Giga kn-1012, прошивка 4.3 Beta 0.1, клиент на Android 12 работает отлично через strongSwan, клиент IOS 18.1 через стандартный профиль VPN IKEv2 не подключается, ошибка в логах: 

Пересоздайте сервер, перепроставьте пользователям доступ к нему. Все работает и работало в этой же связке (iOS 18.3 правда)

[viterra]

Я уже пересоздавал. И пользователей в разном виде. Могу предоставить системный лог.

Я натыкался на [CFG] no matching peer config found при создании туннелей с другими людьми. проблема была в том, что идентификация клиента не проходила и нужно было явно прописать его DN или IP. Тут же этого нет и идентификация должна проходить именно по имени пользователя, и оно видится:

[I] Jan 30 21:13:48 ipsec: 09[CFG] looking for peer configs matching 188.242.111.111[%any]...94.25.228.37[Ksusha] 

, но сервер всё равно даёт отлуп.

Забыл сказать, что пользователей создано трое. Может ли быть в этом проблема?

Изменено 5 февраля пользователем viterra

[Leshiyart]

а почему в логе проскакивает keenetic.pro без поддомена? проверьте настройки клиента
сервер и удаленный id надо указать keendns имя, полностью

Изменено 5 февраля пользователем Leshiyart

[viterra]

1 hour ago, Leshiyart said:

а почему в логе проскакивает keenetic.pro без поддомена? проверьте настройки клиента
сервер и удаленный id надо указать keendns имя, полностью

Если честно, я не понял о чем речь. "keenetic.pro" Такого вообще нет. Пожалуйста, можно поподробнее?

[Leshiyart]

18 часов назад, Skynet сказал:

Добрый вечер. Giga kn-1012, прошивка 4.3 Beta 0.1, клиент на Android 12 работает отлично через strongSwan, клиент IOS 18.1 через стандартный профиль VPN IKEv2 не подключается, ошибка в логах: 

забыл процитировать кому отвечал

[Le ecureuil]

22 часа назад, viterra сказал:

4.2.5

МодельGiga (KN-1012) EAEU

Стоит проверять только на 4.3, на 4.2 смысла нет.

[Le ecureuil]

8 часов назад, viterra сказал:

Я уже пересоздавал. И пользователей в разном виде. Могу предоставить системный лог.

Я натыкался на [CFG] no matching peer config found при создании туннелей с другими людьми. проблема была в том, что идентификация клиента не проходила и нужно было явно прописать его DN или IP. Тут же этого нет и идентификация должна проходить именно по имени пользователя, и оно видится:

[I] Jan 30 21:13:48 ipsec: 09[CFG] looking for peer configs matching 188.242.111.111[%any]...94.25.228.37[Ksusha] 

, но сервер всё равно даёт отлуп.

Забыл сказать, что пользователей создано трое. Может ли быть в этом проблема?

Вообще и правда странно, почему у вас такой ID вылезает. Можете скриншот страницы настройки в iOS показать, слегка замазав поля, чтобы было понятно что и куда вы вводили?

И self-test в скрытом посте тоже не помешает.

[viterra]

15 hours ago, Le ecureuil said:

Вообще и правда странно, почему у вас такой ID вылезает. Можете скриншот страницы настройки в iOS показать, слегка замазав поля, чтобы было понятно что и куда вы вводили?

И self-test в скрытом посте тоже не помешает.

Опять не тому ответили? У меня клиент на андроид. Скриншоты в первом посту. self-test вечером выложу.

[viterra]

15 hours ago, Le ecureuil said:

Стоит проверять только на 4.3, на 4.2 смысла нет.

То есть на 4.2 официально есть баг с ikev2?

[Le ecureuil]

3 часа назад, viterra сказал:

То есть на 4.2 официально есть баг с ikev2?

На 4.2 официально все работает.

Исправления всегда начинаются с проверки и исправления на тестовой версии, и потом они переносятся в более старые если нужно.

[Le ecureuil]

@viterraнаконец-то установил strongswan и проверил.

Говорится же в известном: "многие знания - великие печали".

Зачем вы полезли заполнять поля "Server identity" и "Client identity"?

Правильная (и достаточная) конфигурация strongswan состоит из трех полей: адрес сервера, логин, пароль. Все! Больше ничего не было нужно никогда, пожалуйста, не трогайте другие поля если не понимаете их смысл на 100%.

[Le ecureuil]

Если вы используете встроенный в андроид клиент, то тоже достаточно всего 4 полей: Server address, IPSec Identitfier (вписываете сюда логин пользователя, по идее поле необязательное, но валидатор андроида без него дальше не пустит), логин и пароль. Все.

[Le ecureuil]

В 04.02.2025 в 21:11, Skynet сказал:

Добрый вечер. Giga kn-1012, прошивка 4.3 Beta 0.1, клиент на Android 12 работает отлично через strongSwan, клиент IOS 18.1 через стандартный профиль VPN IKEv2 не подключается, ошибка в логах: 

Для iOS аналогично: заполняете поля Сервер и Удаленный ID согласно вашему адресу сервера, логин пароль еще вводите и все. Как на картинке.

[viterra]

15 hours ago, Le ecureuil said:

Говорится же в известном: "многие знания - великие печали".

Зачем вы полезли заполнять поля "Server identity" и "Client identity"?

Правильная (и достаточная) конфигурация strongswan состоит из трех полей: адрес сервера, логин, пароль. Все! Больше ничего не было нужно никогда, пожалуйста, не трогайте другие поля если не понимаете их смысл на 100%.

Здравствуйте! Я пробовал данные поля в разных сочетаниях, в том числе и пустыми оставлять. 

[Le ecureuil]

Попробуйте проверить следующую комбинацию:

- последняя версия 4.3, включен crypto ipsec debug

- свежесозданное подключение только с 3 этими полями

И если не работает, то прислать self-test после неудачных попыток.

 

[viterra]

On 2/7/2025 at 11:45 AM, Le ecureuil said:

Попробуйте проверить следующую комбинацию:

- последняя версия 4.3, включен crypto ipsec debug

- свежесозданное подключение только с 3 этими полями

И если не работает, то прислать self-test после неудачных попыток.

Попробовал только с 3мя полями и удалил всех пользователей, кроме одного - 0. Лог в скрытом будет.

[Le ecureuil]

Так у нас с вами ничего не выйдет, на версии 4.2 проверять уже нет смысла, равно как и без debug.

[viterra]

6 hours ago, Le ecureuil said:

Так у нас с вами ничего не выйдет, на версии 4.2 проверять уже нет смысла, равно как и без debug.

То есть достаточно будет перезапустить роутер с отладочным режимом? Или нужно ОБЯЗАТЕЛЬНО обновиться на непонятную 4.3 ?

 

On 2/8/2025 at 12:11 PM, viterra said:

crypto ipsec debug

Я видел опцию запуска роутера с полным debug А это я не знаю как сделать.

[Le ecureuil]

5 часов назад, viterra сказал:

То есть достаточно будет перезапустить роутер с отладочным режимом? Или нужно ОБЯЗАТЕЛЬНО обновиться на непонятную 4.3 ?

 

Я видел опцию запуска роутера с полным debug А это я не знаю как сделать.

Если не готовы продолжать на 4.3, тогда просто обождите пока она не станет стабильной.

Полный дебаг никогда без явной просьбы включать не надо, не понимаю зачем все в него лезут.

Залог быстрого решения проблем - четкое следование инструкциям, если не готовы - значит только ждать.

[MDP]

Есть идея )))) ...разработчикам на своих железяках с определённой версией ПО разрешить подключение к определённому адресу по разным протоколам...vpn для проверки (хотя бы для диагностики клиента) 

Ну например @vaskin попробуй подключись со своим клиентом к тестовому серверу xxx.yyy.xxx.zzz имя и пароль...я думаю понимания было бы больше в чём проблема.   нет? 

 

Ну и в "шапке" записать, что-бы сначала проверили на стенде... ))))

Изменено 11 февраля пользователем MDP

[Le ecureuil]

Слишком много конфигураций, которые невозможно придумать с разбега.

Вот предположим есть такой стенд, у человека к нему подключается и работает, а к своему устройству - вообще нет.

И что? Это, по сути, дает ровно ноль новой информации и не упрощает отладку.

[MDP]

Дать человеку свой конфиг подгрузить.... ну да... бредовая немного идея.... но стоит подумать. тплинки делали же эмулятор... стоит и вам придумать.

[viterra]

18 hours ago, Le ecureuil said:

Если не готовы продолжать на 4.3, тогда просто обождите пока она не станет стабильной.

Пара вопросов:

1. Как на неё обновиться? В обновлениях что-то другое выбрать или файлом?

2. Текущий конфиг будет сохранён? Дополнительные пакеты OPKG затронет?

3. При переходе обратно на 4.2 конфиг не попортится?

[stefbarinov]

1 час назад, viterra сказал:

Как на неё обновиться?

Выбрать канал обновления "Канал разработчика"

1 час назад, viterra сказал:

Текущий конфиг будет сохранён?

Сделать бэкап (предложит перед обновлением)

[viterra]

14 minutes ago, stefbarinov said:

Сделать бэкап (предложит перед обновлением)

Я вообще не это имел в виду. Там поднято куча приложений, OPKG и прочее. Нужно что бы это всё продолжило работать...