keenetic viva: ipsec перестал принимать серт от let's encrypt

[dotcom]

После автоматического обновления сертификата Let’s Encrypt через certbot на сервере (Linux) перестало подключаться IKEv2 VPN-подключение с клиента Keenetic (Viva). Версия ОС. 5.0.10

При этом подключения с macOS / iOS / Android работают корректно.

Изменение, после которого возникла проблема:

• ранее сертификат был выдан через Let’s Encrypt R12
• после обновления сертификат выдан через R13

Серверная часть (Linux) выдаёт следующие сообщения:

____

using certificate "CN=vpn.domain.ru"
no issuer certificate found for "CN=vpn.domain.ru"
issuer is "C=US, O=Let's Encrypt, CN=R13"
no trusted RSA public key found for 'vpn.domain.ru'

____

Лог кинетика

ipsec

06[CFG] using certificate "CN=vpn.*.ru"

Апр 24 17:05:19

ipsec

06[CFG] no issuer certificate found for "CN=vpn.*.ru"

Апр 24 17:05:19

ipsec

06[CFG] issuer is "C=US, O=Let's Encrypt, CN=R13"

Апр 24 17:05:19

ipsec

06[IKE] no trusted RSA public key found for 'vpn.*.ru'

Изменено 24 апреля пользователем dotcom

[dotcom]

Разобрался, проблема была в приватном ключе.

В /etc/ipsec.d/private/ оставался старый privkey. Ранее при обновлениях через certbot (chain1–chain3) использовался один и тот же ключ, поэтому всё работало и я про него забыл.

При последнем обновлении certbot сгенерировал новый приватный ключ, но в /etc/ipsec.d/private/ был старый. В результате сертификат и ключ не совпадали, что приводило к AUTH_FAILED почемуто только у части клиентов.

Изменено 24 апреля пользователем dotcom