StrongSwan vs android native client

1

1

ку! Господа пишу в первый раз, пару дней как мучаюсь со следующей траблой: Стандартный клиент ведроеда не хотит соединяться с сервером StrongSwan. Но ! ведроид клиент стронг свена - соединяется. Винда и микроты тоже, хотя микроты зачем то хотят доп серт. Добавляет пикантности факт того, что есть более старый сервер с тем же конфигом за исключением отсутствия привязки к fqdn, подключение к которому прекрасно работает. Спасайте, сам уже головой буду скоро о

ipsec.conf

config setup
        charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2,  mgr 2"
        uniqueids=yes 
ca server-ca
    auto=add
    cacert=/etc/ipsec.d/cacerts/ca-cert.pem
conn ikev2-vpn
        auto=add
        compress=no
        tupe=tunnel
        keyexchange=ikev2
        fragmentation=yes
        forcencaps=yes
        dpdaction=clear
        dpdelay=300s
        fragmentation=yes
        rekey=no
        left=MyIP
        lefid=@fdqn
        leftcert=server-cert.pem
        leftsendcert=always
        leftsubnet=0.0.0.0/0
        right=%any
        rightid=%any
        rightauth=eap-mschapv2
        rightsourceip=10.1.1.0/24 # подсеть VPN
        rightdns=8.8.8.8
        rightsendcert=never
        eap_identity=%identity
        ike=aes256-sha1-modp1024,3des-sha1-modp1024
        esp=aes256-sha1,3des-sha1

Выдержка из логов

Apr 10 22:19:29 MyHostName ipsec[86651]: 10[CFG] selected proposal: IKE:AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/CURVE_25519
Apr 10 22:19:29 MyHostName ipsec[86651]: 10[CFG] received supported signature hash algorithms: sha256 sha384 sha512
Apr 10 22:19:29 MyHostName ipsec[86651]: 10[IKE] remote host is behind NAT
Apr 10 22:19:29 MyHostName ipsec[86651]: 10[CFG] sending supported signature hash algorithms: sha256 sha384 sha512 identity
Apr 10 22:19:29 MyHostName ipsec[86651]: 10[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(CHDLESS_SUP) N(MULT_AUTH) ]
Apr 10 22:19:29 MyHostName ipsec[86651]: 10[NET] sending packet: from #ServerIP#[500] to #ClientP#[9478] (248 bytes)
Apr 10 22:19:29 MyHostName ipsec[86651]: 04[NET] sending packet: from #ServerIP#[500] to #ClientP#[9478]
Apr 10 22:19:29 MyHostName ipsec[86651]: 10[MGR] checkin IKEv2 SA (unnamed)[57] with SPIs 2acbecad070206df_i 3dfdd5559ffd9ba3_r
Apr 10 22:19:29 MyHostName ipsec[86651]: 10[MGR] checkin of IKE_SA successful
Apr 10 22:19:29 MyHostName ipsec[86651]: 03[NET] received packet: from #ClientP#[55858] to #ServerIP#[4500]
Apr 10 22:19:29 MyHostName ipsec[86651]: 03[NET] waiting for data on sockets
Apr 10 22:19:29 MyHostName ipsec[86651]: 14[MGR] checkout IKEv2 SA by message with SPIs 2acbecad070206df_i 3dfdd5559ffd9ba3_r
Apr 10 22:19:29 MyHostName ipsec[86651]: 14[MGR] IKE_SA (unnamed)[57] successfully checked out
Apr 10 22:19:29 MyHostName ipsec[86651]: 14[NET] received packet: from #ClientP#[55858] to #ServerIP#[4500] (496 bytes)
Apr 10 22:19:29 MyHostName ipsec[86651]: 14[ENC] parsed IKE_AUTH request 1 [ IDi IDr SA TSi TSr CPRQ(ADDR ADDR6 DNS DNS6 MASK VER) ]
Apr 10 22:19:29 MyHostName ipsec[86651]: 14[IKE] local endpoint changed from #ServerIP#[500] to #ServerIP#[4500]
Apr 10 22:19:29 MyHostName ipsec[86651]: 14[IKE] remote endpoint changed from #ClientP#[9478] to #ClientP#[55858]
Apr 10 22:19:29 MyHostName ipsec[86651]: 14[CFG] looking for peer configs matching #ServerIP#[fqdn]...#ClientP#[ikev2-vpn]
Apr 10 22:19:29 MyHostName ipsec[86651]: 14[CFG] no matching peer config found
Apr 10 22:19:29 MyHostName ipsec[86651]: 14[IKE] processing INTERNAL_IP4_ADDRESS attribute
Apr 10 22:19:29 MyHostName ipsec[86651]: 14[IKE] processing INTERNAL_IP6_ADDRESS attribute
Apr 10 22:19:29 MyHostName ipsec[86651]: 14[IKE] processing INTERNAL_IP4_DNS attribute
Apr 10 22:19:29 MyHostName ipsec[86651]: 14[IKE] processing INTERNAL_IP6_DNS attribute
Apr 10 22:19:29 MyHostName ipsec[86651]: 14[IKE] processing INTERNAL_IP4_NETMASK attribute
Apr 10 22:19:29 MyHostName ipsec[86651]: 14[IKE] processing APPLICATION_VERSION attribute
Apr 10 22:19:29 MyHostName ipsec[86651]: 14[ENC] generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]

← Расскажите про SSO

CPU Fan Error! →

looking for peer configs matching #ServerIP#[fqdn]…#ClientP#[ikev2-vpn]

На андроиде в поле «ipsec identifier» вписан «ikev2-vpn», что ли? Не надо.

Впрочем, «no matching peer config found» все равно не должно случаться. Стоит сравнить лог успешного подключения, какие там идентификаторы в процитированной строке, и в чем отличия.

thesis ★★★★★
(10.04.26 19:38:22 MSK)
Последнее исправление: thesis 10.04.26 19:42:10 MSK (всего исправлений: 1)

Ответ на: комментарий от thesis 10.04.26 19:38:22 MSK

Действительно, старый сервер работает и без него, но на новом ничего особо не поменялось, вот новые логи

looking for peer configs matching #ServerIP#[fqdn]...#ClientIP#[empty_placeholder]
Apr 10 22:40:11 r1031073 charon[86651]: 07[CFG] no matching peer config found
Apr 10 22:40:11 r1031073 charon[86651]: 07[IKE] processing INTERNAL_IP4_ADDRESS attribute
Apr 10 22:40:11 r1031073 charon[86651]: 07[IKE] processing INTERNAL_IP6_ADDRESS attribute
Apr 10 22:40:11 r1031073 charon[86651]: 07[IKE] processing INTERNAL_IP4_DNS attribute
Apr 10 22:40:11 r1031073 charon[86651]: 07[IKE] processing INTERNAL_IP6_DNS attribute
Apr 10 22:40:11 r1031073 charon[86651]: 07[IKE] processing INTERNAL_IP4_NETMASK attribute
Apr 10 22:40:11 r1031073 charon[86651]: 07[IKE] processing APPLICATION_VERSION attribute
Apr 10 22:40:11 r1031073 charon[86651]: 07[ENC] generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]

moba
(10.04.26 19:43:11 MSK) автор топика

Ответ на: комментарий от moba 10.04.26 19:43:11 MSK

tupe=tunnel

Вот это еще понравилось.

Это прям так и написано?

Алсо, мне чот всегда казалось, что родной андроидный клиент умеет только transport.

thesis ★★★★★
(10.04.26 19:50:13 MSK)
Последнее исправление: thesis 10.04.26 19:59:44 MSK (всего исправлений: 1)

Ответ на: комментарий от thesis 10.04.26 19:50:13 MSK

В логах успешного подключения с клиента StrongSwan есть вот это : looking for peer configs matching #ServerIP#[%any]…#ClientIP#[moba_sw] candidate «ikev2-vpn», match: 1/1/1052 (me/other/ike) Apr 10 22:51:00 r1031073 ipsec[86651]: 12[CFG] selected peer config ‘ikev2-vpn’

Так и написано, чому-то на работу не влияло..

moba
(10.04.26 19:59:46 MSK) автор топика

Ответ на: комментарий от moba 10.04.26 19:59:46 MSK

Я там про транспорт и туннель дописал, такая еще есть догадка.

Ну а вообще стоит редуцировать конфиг до минимума, повыкинуть все что можно, начиная с *id, и добиться чтобы оно пролезло дальше чем «looking for peer configs».

«matching #ServerIP#[%any]» и «matching #ServerIP#[fqdn]» - вот и отличия, как я понимаю.

thesis ★★★★★
(10.04.26 20:05:14 MSK)

Ответ на: комментарий от moba 10.04.26 19:43:11 MSK

Apr 10 22:40:11 r1031073 charon[86651]: 07[CFG] no matching peer config found

Оно! Логи дебага можно выкрутить на полную, опция charondebug (там перечень, описание есть в мане ipsec.conf), буковок в логе будет много и кумарных, но и понимание в чем проблема появиться.

anc ★★★★★
(11.04.26 00:53:19 MSK)

lefid=@fdqn

anonymous
(11.04.26 14:43:23 MSK)

Ответ на: комментарий от anonymous 11.04.26 14:43:23 MSK

Анон глазаст!

thesis ★★★★★
(11.04.26 15:12:26 MSK)

Ответ на: комментарий от anonymous 11.04.26 14:43:23 MSK

тестовая директива, без С@бАчКи таже фигня ( уже даже на swanctl перешёл, в логах(всё на 4) максимум что видно, это что не может конфиг подобраться…

moba
(13.04.26 17:32:15 MSK) автор топика

Ответ на: комментарий от moba 13.04.26 17:32:15 MSK

Анон намекаэ, что там тоже опечатка.

thesis ★★★★★
(15.04.26 18:04:49 MSK)

← Расскажите про SSO

Admin

CPU Fan Error! →

Похожие темы