IKEv2 и L2TP на 4.3 Beta 2

[sergei shumakov]

Здравствуйте!

После перехода на 4.3 Beta 2 перестали работать IKEv2 и L2TP серверы. На стабильном релизе все работало. Клиент IOS 18.3.1. 

На IKEv2 наблюдаю успешное подключение в админке роутера, но соединение разрывается через несколько секунд. На стороне роутера подключение исчезает, а клиент IOS считает, что все хорошо и не видит потерю соединения. В self-test будет по две попытки подключения на IKEv2 и на L2TP. С подключением по L2TP все плохо сразу, на клиенте получаю сообщение "Сервер L2TP-VPN не ответил". Пробовал на МТС и Билайн.

На время диагностики включил crypto ipsec debug

 

[sergei shumakov]

Прикладываю self-test

Изменено 3 марта пользователем sergei shumakov
Нужно скрыть self-test

[Кинетиковод]

15 минут назад, sergei shumakov сказал:

После перехода на 4.3 Beta 2 перестали работать IKEv2 и L2TP серверы.

Про ikev2 уже писали. По l2tp нужно зайти в настройки сервера и поставить режим оптимизации по умолчанию или какой вам подходит, должно заработать.

[sergei shumakov]

21 минуту назад, Кинетиковод сказал:

Про ikev2 уже писали. По l2tp нужно зайти в настройки сервера и поставить режим оптимизации по умолчанию или какой вам подходит, должно заработать.

Да, читал. Все три варианта перепробовал, не помогло. Может имеет смысл удалить компоненты IKEv2 и L2TP и настроить с нуля?

[Кинетиковод]

6 минут назад, sergei shumakov сказал:

Да, читал. Все три варианта перепробовал, не помогло.

Странно, у меня оптимизация по умолчанию работает. Попробуйте добавить в l2tp сервер ещё одного пользователя. На первых сборках 4.3 после этого начинало работать. Потом пользователя можно удалить. На последних сборках вроде данного прикола уже нет, но вдруг у вас этот глюк.

10 минут назад, sergei shumakov сказал:

Может имеет смысл удалить компоненты IKEv2 и L2TP и настроить с нуля?

Я с настройками ikev2 игрался, не помогло. Прям удалять компоненты не пробовал. Откат на 4.2 решал все проблемы.

[sergei shumakov]

22 часа назад, Кинетиковод сказал:

Странно, у меня оптимизация по умолчанию работает. Попробуйте добавить в l2tp сервер ещё одного пользователя. На первых сборках 4.3 после этого начинало работать. Потом пользователя можно удалить. На последних сборках вроде данного прикола уже нет, но вдруг у вас этот глюк.

Я с настройками ikev2 игрался, не помогло. Прям удалять компоненты не пробовал. Откат на 4.2 решал все проблемы.

- отключил компоненты IKEv2 и L2TP
- удалил всех пользователей кроме админа
- включил компоненты IKEv2 и L2TP
- заново создал пользователя для VPN
- на телефоне удалил и заново создал профили VPN для IKEv2 и L2TP

Заработал L2TP, выпускает в сеть, на 2ip.ru вижу ip провайдер для кинетика, но трафик не машрутизируется в исходящий VPN через статическую маршрутизацию.

IKEv2 держит подключение то 5 секунд, то бесконечно, но доступа к сети нет.

Откатиться на релиз не могу из-за ODI SFP, их поддержка есть только на 4.3

IKEv2-log-6.txt

Изменено 4 марта пользователем sergei shumakov
Добавил скрины, лог для IKEv2 и скринкаст

[Leshiyart]

У того интерфейса через который предполагается выход через статические маршруты стоит ли галка для доступа в интернет? Если нет, то надо либо попробовать в фаерволе разрешить протокол ip в домашней сети(или к тому сегменту которому привязан этот л2тп интерфейс)

либо через cli добавить правило фаервола для такого интерфейса с направлением in/out

Так же можно просто поставить галку для выхода в инет 

[sergei shumakov]

11 минут назад, Leshiyart сказал:

У того интерфейса через который предполагается выход через статические маршруты стоит ли галка для доступа в интернет? Если нет, то надо либо попробовать в фаерволе разрешить протокол ip в домашней сети(или к тому сегменту которому привязан этот л2тп интерфейс)

либо через cli добавить правило фаервола для такого интерфейса с направлением in/out

Так же можно просто поставить галку для выхода в инет 

Нет конечно. Туда улетает трафик только на определенные ресурсы, а не весь трафик. Этот конфиг прекрасно работал на релизе. Логика маршрутизации в 4.3 поменялась? 

[Leshiyart]

Я думаю что просто пофиксили работу фаервола, так как по умолчанию если нет галки для доступа в интернет то такой интерфейс не public, а доступ между private и protected запрещен

[sergei shumakov]

22 часа назад, Leshiyart сказал:

Я думаю что просто пофиксили работу фаервола, так как по умолчанию если нет галки для доступа в интернет то такой интерфейс не public, а доступ между private и protected запрещен

включил permit any to any на интефейсе гостевой сети, куда приземляется L2TP - не помогло. добавил permit any to any на исходящем VPN интерфейсе - не помогло. то ли лыжи не едут, то ли я @#$

[sergei shumakov]

На работающем L2TP в логах вот такое, но по факту туннель живой. на 2ip.ru вижу исходящий ip домашнего роутера, а не nat опсоса. 

[Leshiyart]

19 минут назад, sergei shumakov сказал:

а не nat опсоса. 

Тогда раз галки нет для доступа в инет то не забыли ли включить ip nat на исходящем впн

[sergei shumakov]

8 часов назад, Leshiyart сказал:

Тогда раз галки нет для доступа в инет то не забыли ли включить ip nat на исходящем впн

На OpenVPN такой галки нет. И разве не работает глобальная настройка делать NAT? Если бы на этом OpenVPN не работал NAT, то из домашней сети я тоже не смог выйти. Но на видео видно, что на Флибусту с устройства из домашнего сегмента я могу выйти, а через L2TP нет.  
 

L2TP приземляется на гостевой сегмент. Я подключился к гостевому сегменту через WiFi и без проблем открыл Флибусту. Значит NAT работает.

[sergei shumakov]

В 05.03.2025 в 23:40, Leshiyart сказал:

Тогда раз галки нет для доступа в инет то не забыли ли включить ip nat на исходящем впн

Обновился на Beta 3. Зашел в настройки IKEv2, а там отключен NAT. Включил, теперь все работает. Понаблюдаю еще. 

[sergei shumakov]

Хех, смотрю на свои же предыдущие скрины и вижу выключенный NAT на IKEv2 🤦🏻‍♂️

[Le ecureuil]

Просьба проверить работу IKEv2 на новой версии 4.3, которая скоро выйдет.

[sergei shumakov]

В 04.04.2025 в 23:27, Le ecureuil сказал:

Просьба проверить работу IKEv2 на новой версии 4.3, которая скоро выйдет.

На 4.3 Beta 4 все работает.

В логе есть единственная строка, привлекающая внимание: Core::Authenticator: access to "ipsec-xauth" denied for user "******"

[Le ecureuil]

В 06.04.2025 в 14:56, sergei shumakov сказал:

На 4.3 Beta 4 все работает.

В логе есть единственная строка, привлекающая внимание: Core::Authenticator: access to "ipsec-xauth" denied for user "******"

Это нормально, теперь свой тег у ikev2. Но для совместимости со старыми конфигами, он еще на всякий случай и xauth проверяет.

[Кинетиковод]

В 04.04.2025 в 19:27, Le ecureuil сказал:

Просьба проверить работу IKEv2 на новой версии 4.3, которая скоро выйдет.

На 4.3.0 по-прежнему не работает. Всё как обычно заканчивается:

Vpn::EventSender: "IKE2SRVVPN": user "xxx" from "xx.xx.xx.xx" disconnected. 

При этом клиент показывает что он подключен, хотя трафик не ходит. Клиент Strongswan на Андроид. Виндовый тоже не работает. На 4.2 само собой проблемы нет.

Изменено 10 апреля пользователем Кинетиковод

[Leshiyart]

4.3бх-4.3.0 ios ikeav1 v2 работает.

а вот l2tp/ipsec в 4.3.0 кажется сломали.

в 4.3 для ike1 и ike2 новые теги у пользователей, проверьте их

(Снимите и заново проставьте из веб попробуйте)

Изменено 10 апреля пользователем Leshiyart

[Le ecureuil]

2 часа назад, Кинетиковод сказал:

На 4.3.0 по-прежнему не работает. Всё как обычно заканчивается:

Vpn::EventSender: "IKE2SRVVPN": user "xxx" from "xx.xx.xx.xx" disconnected. 

При этом клиент показывает что он подключен, хотя трафик не ходит. Клиент Strongswan на Андроид. Виндовый тоже не работает. На 4.2 само собой проблемы нет.

Нужен self-test с crypto ipsec debug.

[Кинетиковод]

2 часа назад, Leshiyart сказал:

в 4.3 для ike1 и ike2 новые теги у пользователей, проверьте их

(Снимите и заново проставьте из веб попробуйте)

Не помогло.

2 часа назад, Le ecureuil сказал:

ужен self-test с crypto ipsec debug.

На 4.3 ike сделаны отдельным модулем "IKEv1/IPsec и IKEv2/IPsec VPN-серверы" и их вынос сделан как-то криво. При обновлении с 4.2 на 4.3 L2TP сервер отключен, т.к. у него не выбран режим производительности. При этом клиент IKE не подключается вообще, ну и клиенты L2TP само собой. После выставления режима по умолчанию на L2TP клиенты L2TP подключаются, как и клиенты IKE, но у последних трафик не ходит. В описании IKEv2 сервера написано "Разрешения доступа пользователей к VPN-серверам IKEv1/IPsec и IKEv2/IPsec общие.", что соответствует действительности на 4.2 и права доступа на IKE 1 и 2 дублируются. А вот на 4.3 они независимы.

Спойлер

Думаю проблема связана именно с правами клиентов, т.к. такая же проблема наблюдалась на L2TP сервере, когда клиенты не могли подключиться, но стоило добавить дополнительного клиента, как все клиенты начинали подключаться. Сейчас я у себя такой проблемы на L2TP не наблюдаю, но у других пользователей данный баг по-прежнему присутствует.

По поводу "self-test с crypto ipsec debug" я так понимаю имеется ввиду подключиться в дебаг режиме и сохранить селф тест. Проблема в том, что на 4.3.0 режим отладки исчез.

Спойлер

Может отладку перенесли куда-то, но я её не нашел. На 4.2 отладка на месте, но на ней и проблемы нет.

[Leshiyart]

5 часов назад, Кинетиковод сказал:

По поводу "self-test с crypto ipsec debug" я так понимаю имеется ввиду подключиться в дебаг режиме и сохранить селф тест. Проблема в том, что на 4.3.0 режим отладки исчез.

Именно так и включить дебаг, введя crypto ipsec debug в cli

из веба убрали общий дебаг, теперь предполагается делать его точечно

[Кинетиковод]

По поводу прав доступа на 4.3 вообще интересно. Как оказалось галки на доступ в настройках сервера ike не дублируются в разделе "Пользователи и доступ", т.е. в настройках сервера доступ у пользователя есть, а разделе доступа доступа нет. Плюс сам доступ у ikev1 и ikev2 раздельный. Но в приложении всё ещё интересней, там имеются сразу три галки! 

Спойлер

На 4.2 существует одна галка доступа к ikev1/ikev2, а на 4.3 в вебморде две, а в приложении сразу три галки. Но даже если наставить сразу все галки клиент всё равно доступ не получает.