LINUX.ORG.RU
ФорумAdmin

strongswan за роутером

 


1

1

Здравствуйте. Я начинающий админ. Пытаюсь поднять vpn strongswan за роутером, у роутера IP белый. Сервер на CentOS 7 (IP 192.168.1.22). Форвардинг включен. Ниже мой ipsec.conf

config setup
    charondebug="ike 2, knl 2, cfg 2"
    uniqueids = no # позволяет подключаться нескольким клиентам с одним сертификатом

conn %default
    ikelifetime=60m
    keylife=20m
    rekeymargin=3m
    forceencaps=yes
    dpdaction=clear
    dpddelay=35s
    dpdtimeout=300s
    rekey=no
    left=192.168.1.22
    leftid=192.168.1.22
    compress=no
    fragmentation=yes
    leftsubnet=192.168.1.0/24
    right=%any
    keyexchange=ikev2
    ike=aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,3d
    esp=aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1-mo

conn ikev2-mschapv2
    leftauth=eap-mschapv2
    rightauth=eap-mschapv2
    auto=route
 

Подключаюсь из Windows 10 по логину-паролю, она пишет «Ошибка сопоставления групповой политики». Причем неважно какой логин-пароль.

В логе strongswan вот это:

Jul 17 11:59:32 15[IKE] <23> no IKE config found for 192.168.1.22...188.ххх.ххх.ххх, sending NO_PROPOSAL_CHOSEN

Подскажете, что у меня не так с конфигом?

И второй вопрос: если я буду генерить ключи для сервера, мне какой ip указывать, локальный или белый IP роутера, или можно указать локальное имя сервера?


Нашел ошибку в ipsec.conf, по логам пытается конектится, а потом вот это

Jul 17 15:27:54 12[IKE] <1> received cert request for unknown ca with keyid 3e:22:d4:2c:1f:02:44:b8:04:10:65:61:7c:c7:6b:ae:da:87:29:9c
Jul 17 15:27:54 12[IKE] <1> received cert request for unknown ca with keyid 55:e4:81:d1:11:80:be:d8:89:b9:08:a3:31:f9:a1:24:09:16:b9:70
Jul 17 15:27:54 12[IKE] <1> received cert request for unknown ca with keyid b1:81:08:1a:19:a4:c0:94:1f:fa:e8:95:28:c1:24:c9:9b:34:ac:c7
Jul 17 15:27:54 12[IKE] <1> received cert request for unknown ca with keyid 21:0f:2c:89:f7:c4:cd:5d:1b:82:5e:38:d6:c6:59:3b:a6:93:75:ae
Jul 17 15:27:54 12[IKE] <1> received cert request for unknown ca with keyid bb:c2:3e:29:0b:b3:28:77:1d:ad:3e:a2:4d:bd:f4:23:bd:06:b0:3d
Jul 17 15:27:54 12[IKE] <1> received cert request for unknown ca with keyid c8:95:13:68:01:97:28:0a:2c:55:c3:fc:d3:90:f5:3a:05:3b:c9:fb
Jul 17 15:27:54 12[IKE] <1> received cert request for unknown ca with keyid ee:e5:9f:1e:2a:a5:44:c3:cb:25:43:a6:9a:5b:d4:6a:25:bc:bb:8e
Jul 17 15:27:54 12[IKE] <1> received cert request for unknown ca with keyid 17:4a:b8:2b:5f:fb:05:67:75:27:ad:49:5a:4a:5d:c4:22:cc:ea:4e
Jul 17 15:27:54 12[IKE] <1> received cert request for unknown ca with keyid 68:33:0e:61:35:85:21:59:29:83:a3:c8:d2:d2:e1:40:6e:7a:b3:c1
Jul 17 15:27:54 12[IKE] <1> received cert request for unknown ca with keyid 4f:9c:7d:21:79:9c:ad:0e:d8:b9:0c:57:9f:1a:02:99:e7:90:f3:87
Jul 17 15:27:54 12[IKE] <1> received 36 cert requests for an unknown ca
Jul 17 15:27:54 12[CFG] <1> looking for peer configs matching 192.168.1.22[%any]...188.ххх.ххх.ххх[192.168.0.147]
Jul 17 15:27:54 12[CFG] <1>   candidate "ikev2-mschapv2", match: 1/1/1052 (me/other/ike)
Jul 17 15:27:54 12[CFG] <ikev2-mschapv2|1> selected peer config 'ikev2-mschapv2'
Jul 17 15:27:54 12[IKE] <ikev2-mschapv2|1> initiating EAP_MSCHAPV2 method (id 0x05)
Jul 17 15:27:54 12[IKE] <ikev2-mschapv2|1> processing INTERNAL_IP4_ADDRESS attribute
Jul 17 15:27:54 12[IKE] <ikev2-mschapv2|1> processing INTERNAL_IP4_DNS attribute
Jul 17 15:27:54 12[IKE] <ikev2-mschapv2|1> processing INTERNAL_IP4_NBNS attribute
Jul 17 15:27:54 12[IKE] <ikev2-mschapv2|1> processing INTERNAL_IP4_SERVER attribute
Jul 17 15:27:54 12[ENC] <ikev2-mschapv2|1> added payload of type ID_RESPONDER to message
Jul 17 15:27:54 12[IKE] <ikev2-mschapv2|1> configured EAP-only authentication, but peer does not support it
Jul 17 15:27:54 12[ENC] <ikev2-mschapv2|1> added payload of type NOTIFY to message
Jul 17 15:27:54 12[ENC] <ikev2-mschapv2|1> order payloads in message
Jul 17 15:27:54 12[ENC] <ikev2-mschapv2|1> added payload of type NOTIFY to message
Jul 17 15:27:54 12[ENC] <ikev2-mschapv2|1> generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]

Далее куча заголовков, а в конце

Jul 17 15:27:54 12[ENC] <ikev2-mschapv2|1> generating NOTIFY payload finished
Jul 17 15:27:54 12[ENC] <ikev2-mschapv2|1> generated content in encrypted payload
Jul 17 15:27:54 12[ENC] <ikev2-mschapv2|1> generating payload of type ENCRYPTED
Jul 17 15:27:54 12[ENC] <ikev2-mschapv2|1>   generating rule 0 U_INT_8
Jul 17 15:27:54 12[ENC] <ikev2-mschapv2|1>   generating rule 1 U_INT_8
Jul 17 15:27:54 12[ENC] <ikev2-mschapv2|1>   generating rule 2 PAYLOAD_LENGTH
Jul 17 15:27:54 12[ENC] <ikev2-mschapv2|1>   generating rule 3 CHUNK_DATA
Jul 17 15:27:54 12[ENC] <ikev2-mschapv2|1> generating ENCRYPTED payload finished
Jul 17 15:27:54 12[NET] <ikev2-mschapv2|1> sending packet: from 192.168.1.22[4500] to 188.ххх.ххх.ххх[4500] (76 bytes)
Jul 17 15:27:54 04[NET] sending packet: from 192.168.1.22[4500] to 188.ххх.ххх.ххх[4500]
Jul 17 15:27:54 12[MGR] <ikev2-mschapv2|1> checkin and destroy IKE_SA ikev2-mschapv2[1]
Jul 17 15:27:54 12[IKE] <ikev2-mschapv2|1> IKE_SA ikev2-mschapv2[1] state change: CONNECTING => DESTROYING
Jul 17 15:27:54 12[MGR] checkin and destroy of IKE_SA successful
Jul 17 15:28:14 01[JOB] got event, queuing job for execution
Jul 17 15:28:14 01[JOB] next event in 10s 2ms, waiting
Jul 17 15:28:14 13[MGR] checkout IKEv2 SA with SPIs f9707d5779b8b879_i d8486eeed9aa8f27_r
Jul 17 15:28:14 13[MGR] IKE_SA checkout not successful
Jul 17 15:28:24 01[JOB] got event, queuing job for execution
Jul 17 15:28:24 01[JOB] no events, waiting
Jul 17 15:28:24 14[MGR] checkout IKEv2 SA with SPIs f9707d5779b8b879_i d8486eeed9aa8f27_r
Jul 17 15:28:24 14[MGR] IKE_SA checkout not successful
Jul 17 15:29:02 02[JOB] watched FD 10 ready to read
Jul 17 15:29:02 02[JOB] watcher going to poll() 7 fds
Jul 17 15:29:02 02[JOB] watcher got notification, rebuilding
Jul 17 15:29:02 02[JOB] watcher going to poll() 8 fds
bubl0 ()
Ответ на: комментарий от bubl0

В логах Windows ошибка 13801. Погуглил, насколько понял без сертификатов винда коннектится не хочет. А на какой ip их генерить, чтоб снаружи можно было коннектится непонятно. В гугле ответа пока не нашел

bubl0 ()
Ответ на: комментарий от bubl0

Наконец-то с таким ipsec.conf винду удалось приконнектить

conn %default
    ikelifetime=60m
    keylife=20m
    rekeymargin=3m
    forceencaps=yes
    dpdaction=clear
    dpddelay=35s
    dpdtimeout=300s
    rekey=no
    left=192.168.1.22
    leftid=192.168.1.22
    compress=no
    fragmentation=yes
    leftauth=pubkey
    leftcert=192.168.1.22.crt
    leftsendcert=always
    leftsubnet=192.168.10.0/24

    right=%any
    rightauth=pubkey
    rightsendcert=never
    rightsourceip=192.168.10.2-192.168.10.50
    
    mobike=no
    keyexchange=ikev2
    ike=aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!
    esp=aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1-modp2048,aes128-sha1-modp1024,3des-sha1-modp1024,aes128-aes256-sha1-sha256,aes128-sha1,3des-sha1!

conn ikev2-pubkey
    keyexchange=ikev2
    auto=add

conn ikev2-mschapv2
    leftauth=pubkey
    rightauth=eap-mschapv2
    auto=add
    eap_identity=%identity

Но вопрос, почему для виртаульной сети 192.168.10.0 выдается маска подсети /32. А мне нужна маска /24. Как заставить выдавать маску /24? rightsourceip=192.168.10.0/24 пробовал не помагает

bubl0 ()