ipsec + let's encrypt на маке работает, на keentic нет [no trusted RSA public key found]

0

1

VPN server ipsec на Ubuntu с самоподписанным сертификатом все работало.

сделал серт на let’s encrypt - в конфиге поменял только сертификаты - на маке отлично завелось, на кинетике(клиент) ни в какую 3 день бьюсь.

кинетик-логи

no trusted RSA public key found for 'vpn.***.ru'
no issuer certificate found for "CN=vpn.***.ru"

как я понимаю он не знает про let’s encrypt. Пробовал добавлять в конфиг кинетика сертификат и fullchain и корневой с let’s encrypt - нифига. Кто знает куда дальше копать?

ipsec.conf


config setup
     charondebug="ike 2, knl 2, cfg 2"
     uniqueids=yes


conn %default
    auto=add
    compress=no
    type=tunnel
    fragmentation=yes
    forceencaps=yes
    dpdaction=clear
    dpddelay=35s
    dpdtimeout=300s
    rekey=no


conn myConn

    #server
    left=%any
    #leftid=%any
    leftid=vpn.***.ru
    leftcert=/etc/letsencrypt/live/vpn.***.ru/fullchain.pem
    #leftcert=server-cert.pem
    leftsendcert=always
    leftsubnet=0.0.0.0/0

    #clients
    right=%any
    rightid=%any
    rightauth=eap-mschapv2
    rightsourceip=10.10.10.0/24
    rightdns=1.1.1.1,8.8.8.8
    rightsubnet=%dynamic
    rightsendcert=never
    eap_identity=%identity
    ike=chacha20poly1305-sha512-curve25519-prfsha512,aes256gcm16-sha384-prfsha384-ecp384,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024!
    esp=chacha20poly1305-sha512,aes256gcm16-ecp384,aes256-sha256,aes256-sha1,3des-sha1!

ipsec.secrets

: RSA /etc/ipsec.d/private/vpn.key  # ключ от let's encrypt скопировал сюда


mac : EAP "asdfgsadfg"
keenetic : EAP "asdsadsad"

←	Некорректно работает сеть с SFP по оптике

А вот хочу RAID на Proxmox, например.

→

Возможно он не про Let`s Encrypt ничего не знает, а про TLS 1.3.

kostik87 ★★★★★
(26.10.25 12:50:42 MSK)

вот в keenetic и обращайся @keenetic_support_bot

jura12 ★★
(26.10.25 17:55:53 MSK)

Ответ на: комментарий от jura12 26.10.25 17:55:53 MSK

Спасибо, им написал, на удивление ответили, но пока ждал решения - пофиксил сам. Похоже проблема в том что если просписать

conn %default
    auto=add
    compress=no
    type=tunnel
    fragmentation=yes
    forceencaps=yes
    ike=aes256-sha1-modp1024
    esp=aes256-sha1
    dpdaction=clear
    dpddelay=30s
    rekey=no

то он не применятеся по дефолту к всем conn, снизу рабочий конфиг для сертификата letsencrypt, там 2 conn. Первый для всех, второй для ikev1 (старый тел на адроид) cert.pem - это симлинк на сертификат letsencrypt - cert1.pem

ipsec.conf

config setup
   charondebug="ike 1, knl 1, cfg 1"
    
conn ikev2-vpn
    auto=add
    compress=no
    type=tunnel
    fragmentation=yes
    forceencaps=yes
    ike=aes256-sha1-modp1024
    esp=aes256-sha1
    dpdaction=clear
    dpddelay=30s
    rekey=no

    keyexchange=ikev2
    left=%any
    leftid=@vpn.***.ru
    leftcert=cert.pem
    leftsendcert=always
    leftsubnet=0.0.0.0/0

    right=%any
    rightid=%any
    rightauth=eap-mschapv2
    rightsourceip=10.10.10.0/24
    rightdns=1.1.1.1,8.8.4.4
    rightsubnet=%dynamic
    rightsendcert=never
    eap_identity=%identity

conn myAndroidConn
    auto=add
    compress=no
    type=tunnel
    fragmentation=yes
    forceencaps=yes
    ike=aes256-sha1-modp1024
    esp=aes256-sha1
    dpdaction=clear
    dpddelay=30s
    rekey=no

    keyexchange=ikev1
    #server
    left=%any
    leftid=%any
    leftcert=cert.pem
    leftsendcert=always
    leftsubnet=0.0.0.0/0

    #clients
    right=%any
    rightid=%any
    rightauth=xauth
    rightsourceip=10.10.10.0/24
    rightdns=1.1.1.1,8.8.8.8
    rightsubnet=%dynamic
    rightsendcert=never
    ike=chacha20poly1305-sha512-curve25519-prfsha512,aes256gcm16-sha384-prfsha384-ecp384,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024!
    esp=chacha20poly1305-sha512,aes256gcm16-ecp384,aes256-sha256,aes256-sha1,3des-sha1!

ipsec.secrets


vpn.***.ru : RSA /etc/ipsec.d/private/key.pem  # это тоже симлинк на сертификат  letsencrypt

home : EAP "*****"
android : XAUTH "****"

time
(30.10.25 22:44:41 MSK) автор топика

Ответ на: комментарий от time 30.10.25 22:44:41 MSK

Похоже проблема в том что если просписать

...

то он не применятеся по дефолту к всем conn

Без «похоже» man ipsec.conf
A section with name %default specifies defaults for sections of the same type. All parameters in it, are inherited by all other sections of that type.

anc ★★★★★
(01.11.25 00:21:55 MSK)

←	Некорректно работает сеть с SFP по оптике

Admin

А вот хочу RAID на Proxmox, например.

→

Похожие темы