LINUX.ORG.RU

IKEv2 не подключается через Network Manager

 , , ,


0

1

Сабж.

Просто не подключается и все. Через службу strongswan-starter тоже:

● strongswan-starter.service - strongSwan IPsec IKEv1/IKEv2 daemon using ipsec.conf
     Loaded: loaded (/lib/systemd/system/strongswan-starter.service; disabled; vendor preset: enabled)
     Active: active (running) since Fri 2022-03-11 12:18:23 MSK; 49s ago
   Main PID: 14503 (starter)
      Tasks: 18 (limit: 18398)
     Memory: 4.5M
     CGroup: /system.slice/strongswan-starter.service
             ├─14503 /usr/lib/ipsec/starter --daemon charon --nofork
             └─14517 /usr/lib/ipsec/charon

мар 11 12:18:23 alex-thinkpad charon[14517]: 07[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
мар 11 12:18:23 alex-thinkpad charon[14517]: 07[NET] sending packet: from 192.168.13.12[500] to XXX.XXX.XX.XXX[500] (1128 bytes)
мар 11 12:18:27 alex-thinkpad charon[14517]: 14[IKE] retransmit 1 of request with message ID 0
мар 11 12:18:27 alex-thinkpad charon[14517]: 14[NET] sending packet: from 192.168.13.12[500] to XXX.XXX.XX.XXX[500] (1128 bytes)
мар 11 12:18:34 alex-thinkpad charon[14517]: 07[IKE] retransmit 2 of request with message ID 0
мар 11 12:18:34 alex-thinkpad charon[14517]: 07[NET] sending packet: from 192.168.13.12[500] to XXX.XXX.XX.XXX[500] (1128 bytes)
мар 11 12:18:47 alex-thinkpad charon[14517]: 07[IKE] retransmit 3 of request with message ID 0
мар 11 12:18:47 alex-thinkpad charon[14517]: 07[NET] sending packet: from 192.168.13.12[500] to XXX.XXX.XX.XXX[500] (1128 bytes)
мар 11 12:19:10 alex-thinkpad charon[14517]: 06[IKE] retransmit 4 of request with message ID 0
мар 11 12:19:10 alex-thinkpad charon[14517]: 06[NET] sending packet: from 192.168.13.12[500] to XXX.XXX.XX.XXX[500] (1128 bytes)

При этом просто через charon-cmd все отлично работает.

В dmesg ругался apparmor. Я его вообще отключил - это не помогло.

★★★★★

конфиг покажешь? гугол говорит, что возможно там ikev1 стоит у тебя в механизме обмена обмена ключами

SpaceRanger ★★ ()
Ответ на: комментарий от SpaceRanger

Сервер:

config setup
    charondebug="ike 1, knl 1, cfg 0"
    uniqueids=no

conn ikev2-vpn
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes

    dpdaction=clear
    dpddelay=300s
    rekey=no

    left=%any
    leftid=XXX.XXX.XX.XXX
    leftcert=server-cert.pem
    leftsendcert=always
    leftsubnet=0.0.0.0/0

    right=%any
    rightid=%any
    rightauth=eap-mschapv2
    rightsourceip=10.10.107.0/24
    rightdns=8.8.8.8,8.8.4.4
    rightsendcert=never

    eap_identity=%identity

    ike=chacha20poly1305-sha512-curve25519-prfsha512,aes256gcm16-sha384-prfsha384-ecp384,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024!
    esp=chacha20poly1305-sha512,aes256gcm16-ecp384,aes256-sha256,aes256-sha1,3des-sha1!

И клиент:

# ipsec.conf - strongSwan IPsec configuration file

# basic configuration

config setup
        # strictcrlpolicy=yes
        # uniqueids = no

# Add connections here.
conn ikev2-rw
    right=XXX.XXX.XX.XXX
    # This should match the `leftid` value on your server's configuration
    rightid=XXX.XXX.XX.XXX
    rightsubnet=0.0.0.0/0
    rightauth=pubkey
    leftsourceip=%config
    leftid=anonym
    leftauth=eap-mschapv2
    eap_identity=%identity
    auto=start

Вообще по этой инструкции делал: https://www.digitalocean.com/community/tutorials/how-to-set-up-an-ikev2-vpn-s...

Suntechnic ★★★★★ ()

Смотрите логи. Если лень – ставьте что-то готовое, типа hwdsl2/docker-ipsec-vpn-server.

i586 ★★★★ ()
Ответ на: комментарий от Suntechnic

у меня по ней же завелось после пары тыков.

Тут смотрел?

к тому же разрабами настоятельно рекомендуется на swanctl.conf перейти. Скрипт для миграции тута. Это сильно облегчит жизнь в будущем. Хоть и пока для ipsec.conf больше инфы в инетах - прост ретрограды кругом.

Вообще, судя по логам, у тебя даже не начинается общение между клиентом и серваком. Ничего там посередине нету? Пингуется сервер то?

SpaceRanger ★★ ()
Последнее исправление: SpaceRanger (всего исправлений: 3)
Ответ на: комментарий от SpaceRanger

Так с

sudo charon-cmd --cert /etc/ipsec.d/cacerts/ca-cert.pem --host xxx.xxx.xx.xxx --identity anonym
все отлично подключается и работает. Не подключается только через NetworkManager.

Я так понял причина в том что при подключении через NM он ломится в 500 порт, а надо в 4500.

Не подключается:

мар 11 21:06:53 alex-thinkpad charon-nm[12431]: 01[CFG] received initiate for NetworkManager connection czech
мар 11 21:06:53 alex-thinkpad charon-nm[12431]: 01[CFG] using CA certificate, gateway identity '185.xxx.xx.xxx'
мар 11 21:06:53 alex-thinkpad charon-nm[12431]: 01[IKE] initiating IKE_SA czech[7] to 185.xxx.xx.xxx
мар 11 21:06:53 alex-thinkpad charon-nm[12431]: 01[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
мар 11 21:06:53 alex-thinkpad charon-nm[12431]: 01[NET] sending packet: from 192.168.13.12[41634] to 185.xxx.xx.xxx[500] (1128 bytes)
мар 11 21:06:57 alex-thinkpad charon-nm[12431]: 14[IKE] retransmit 1 of request with message ID 0
мар 11 21:06:57 alex-thinkpad charon-nm[12431]: 14[NET] sending packet: from 192.168.13.12[41634] to 185.xxx.xx.xxx[500] (1128 bytes)
мар 11 21:07:04 alex-thinkpad charon-nm[12431]: 16[IKE] retransmit 2 of request with message ID 0
мар 11 21:07:04 alex-thinkpad charon-nm[12431]: 16[NET] sending packet: from 192.168.13.12[41634] to 185.xxx.xx.xxx[500] (1128 bytes)
и висит до таймаута

Подключается:

мар 11 21:08:46 alex-thinkpad sudo[213717]:     alex : TTY=pts/2 ; PWD=/home/alex ; USER=root ; COMMAND=/usr/sbin/charon-cmd --cert /etc/ipsec.d/cacerts/ca-cert.pem --host 185.xxx.xx.xxx --identity anonym
мар 11 21:08:46 alex-thinkpad charon-cmd[213718]: 00[PTS] TPM 2.0 - could not load "libtss2-tcti-tabrmd.so.0"
мар 11 21:08:46 alex-thinkpad charon-cmd[213718]: 00[LIB] plugin 'tpm': failed to load - tpm_plugin_create returned NULL
мар 11 21:08:46 alex-thinkpad charon-cmd[213718]: 00[LIB] created TUN device: ipsec0
мар 11 21:08:46 alex-thinkpad charon-cmd[213718]: 00[LIB] dropped capabilities, running as uid 0, gid 0
мар 11 21:08:46 alex-thinkpad charon-cmd[213718]: 00[DMN] Starting charon-cmd IKE client (strongSwan 5.8.2, Linux 5.16.13-051613-generic, x86_64)
мар 11 21:08:46 alex-thinkpad charon-cmd[213718]: 00[LIB] loaded plugins: charon-cmd ldap pkcs11 aesni aes rc2 sha2 sha1 md5 mgf1 rdrand random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 sshkey pem openssl gcrypt af-alg fips-prf gmp curve25519 agent chapoly xcbc cmac hmac ctr ccm gcm ntru drbg curl kernel-libipsec kernel-netlink resolve socket-default bypass-lan eap-identity eap-md5 eap-gtc eap-mschapv2 eap-tls eap-ttls eap-peap xauth-generic
мар 11 21:08:46 alex-thinkpad charon-cmd[213718]: 00[JOB] spawning 16 worker threads
мар 11 21:08:46 alex-thinkpad charon-cmd[213718]: 12[KNL] error installing route with policy 169.254.0.0/16 === 169.254.0.0/16 out
мар 11 21:08:46 alex-thinkpad charon-cmd[213718]: 12[IKE] installed bypass policy for 169.254.0.0/16
мар 11 21:08:46 alex-thinkpad charon-cmd[213718]: 12[IKE] installed bypass policy for 192.168.13.0/24
мар 11 21:08:46 alex-thinkpad charon-cmd[213718]: 12[IKE] installed bypass policy for ::1/128
мар 11 21:08:46 alex-thinkpad charon-cmd[213718]: 12[KNL] error installing route with policy fe80::/64 === fe80::/64 out
мар 11 21:08:46 alex-thinkpad charon-cmd[213718]: 12[IKE] installed bypass policy for fe80::/64
мар 11 21:08:46 alex-thinkpad charon-cmd[213718]: 12[IKE] interface change for bypass policy for fe80::/64 (from enp0s31f6 to ipsec0)
мар 11 21:08:46 alex-thinkpad charon-cmd[213718]: 12[KNL] error installing route with policy fe80::/64 === fe80::/64 out
мар 11 21:08:46 alex-thinkpad charon-cmd[213718]: 12[IKE] initiating IKE_SA cmd[1] to 185.xxx.xx.xxx
мар 11 21:08:46 alex-thinkpad charon-cmd[213718]: 12[IKE] initiating IKE_SA cmd[1] to 185.xxx.xx.xxx
мар 11 21:08:46 alex-thinkpad charon-cmd[213718]: 12[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
мар 11 21:08:46 alex-thinkpad charon-cmd[213718]: 12[NET] sending packet: from 192.168.13.12[39873] to 185.xxx.xx.xxx[4500] (1128 bytes)
мар 11 21:08:46 alex-thinkpad charon-cmd[213718]: 13[NET] received packet: from 185.xxx.xx.xxx[4500] to 192.168.13.12[39873] (38 bytes)
мар 11 21:08:46 alex-thinkpad charon-cmd[213718]: 13[ENC] parsed IKE_SA_INIT response 0 [ N(INVAL_KE) ]
мар 11 21:08:46 alex-thinkpad charon-cmd[213718]: 13[IKE] peer didn't accept DH group ECP_256, it requested CURVE_25519
мар 11 21:08:46 alex-thinkpad charon-cmd[213718]: 13[IKE] initiating IKE_SA cmd[1] to 185.xxx.xx.xxx
мар 11 21:08:46 alex-thinkpad charon-cmd[213718]: 13[IKE] initiating IKE_SA cmd[1] to 185.xxx.xx.xxx
мар 11 21:08:46 alex-thinkpad charon-cmd[213718]: 13[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
мар 11 21:08:46 alex-thinkpad charon-cmd[213718]: 13[NET] sending packet: from 192.168.13.12[39873] to 185.xxx.xx.xxx[4500] (1096 bytes)
мар 11 21:08:46 alex-thinkpad charon-cmd[213718]: 14[NET] received packet: from 185.xxx.xx.xxx[4500] to 192.168.13.12[39873] (236 bytes)
мар 11 21:08:46 alex-thinkpad charon-cmd[213718]: 14[ENC] parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(CHDLESS_SUP) N(MULT_AUTH) ]
мар 11 21:08:46 alex-thinkpad charon-cmd[213718]: 14[CFG] selected proposal: IKE:CHACHA20_POLY1305/PRF_HMAC_SHA2_512/CURVE_25519
мар 11 21:08:46 alex-thinkpad charon-cmd[213718]: 14[IKE] local host is behind NAT, sending keep alives
мар 11 21:08:46 alex-thinkpad charon-cmd[213718]: 14[IKE] remote host is behind NAT
мар 11 21:08:46 alex-thinkpad charon-cmd[213718]: 14[IKE] sending cert request for "CN=VPN root CA"
и дальше уже погнали

Suntechnic ★★★★★ ()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.