IKEv2/IPSec на прошивке 4.3.8 некорректно работает

[overloadtm]

Добрый день.

Сегодня обновилась прошивка на Speedster (KN-3010) EAEU с 4.3.7 на 4.3.8. И вроде бы всё работало, за исключением подключения к роутеру по IKEv2 с телефона на андроиде v.16. При попытке создать соединение - тупо пытался подключиться бесконечно. В логе следующая информация:

ipsec
09[IKE] DH group MODP_4096 unacceptable, requesting MODP_2048
11[IKE] xxx.xxx.xxx.xxx is initiating an IKE_SA
11[CFG] received proposals: IKE:AES_CTR=256/AES_CBC=256/AES_CTR=192/AES_CBC=192/AES_CTR=128/AES_CBC=128/HMAC_SHA2_512_256/HMAC_SHA2_384_192/HMAC_SHA2_256_128/AES_XCBC_96/AES_CMAC_96/PRF_HMAC_SHA1/PRF_AES128_XCBC/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_CMAC/MODP_4096/CURVE_25519/MODP_3072/MODP_2048, IKE:CHACHA20_POLY1305/AES_GCM_16=256/AES_GCM_12=256/AES_GCM_8=256/AES_GCM_16=192/AES_GCM_12=192/AES_GCM_8=192/AES_GCM_16=128/AES_GCM_12=128/AES_GCM_8=128/PRF_HMAC_SHA1/PRF_AES128_XCBC/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_CMAC/MODP_4096/CURVE_25519/MODP_3072/MODP_2048
11[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256
11[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
11[IKE] remote host is behind NAT
10[IKE] KDF_PRF with PRF_HMAC_SHA2_256 not supported
10[IKE] key derivation failed
10[IKE] found encrypted message, but no keys available
10[IKE] IKE_AUTH request with message ID 1 processing failed

 

Сначала погрешил на провайдера и сотового оператора, может они заблочили протокол или порт. Но провайдер написал, какие порты он блочит, и собственно не в них дело. Сотовый оператор тоже отпал, т.к. допустим на iPhone по L2TP соединение есть, проблема именно в IKEv2(а он только на Андроиде 16). Когда приложение отключаешь на роутере - при подключении на телефоне сразу идет сбой. Откат до 4.3.7 не помог, т.к. сразу приложения L2TP, IKEv2 слетают после перезагрузки роутера, а при их установке - опять обновляется до 4.3.8(что за тема такая - до сих пор не понимаю, зачем так делать). Менял и сертификат KeenDNS, перелопатил кучу форумов, посмотрел, что в 4.3.8 затронули библиотеку OpenSSL. Скидывать на заводские настройки не хотелось, да и времени кучу потратил - решил обновиться до прошивки 5.0.12 - и о чудо - все подключения взлетели с первого раза, коннект стабильный.

 

Я к чему - может кто еще столкнется с похожей проблемой - вот мне такое решение помогло. На всякий случай отключил автоматическое обновление -ибо стараюсь следовать правилу: работает - не трогай. Ну и разработчикам на посмотреть - может там ерундовая штука, которая быстро исправится.

[Migel]

Да, точно такая же проблема на Extra (KN-1711) EAEU на IPsec-подключении сеть—сеть после обновления на 4.3.8.

Решилось выставлением канала обновления на канал разработчика и установкой 5.0.12.

Изменено 8 часов назад пользователем Migel

[kck]

Аналогичная проблема.
На 4.3.8 отвалился IPsec с аналогичными ошибками в логе.
Помогла установка канала разработчика в обновлениях и обновление на KeeneticOS 5.0.12
Модель устройства: 4G (KN-1212)