Автор Тема: IPsec/IKEv2 (strongswan)  (Прочитано 2794 раз)

Оффлайн gttn

  • Начинающий
  • *
  • Сообщений: 6
IPsec/IKEv2 (strongswan)
« : 09.03.2022 06:10:20 »
Доброго времени суток друзья.

Прошу оказать методическую помощь ;-D

Установил в Alt workstation 10 поддержку IPsec/IKEv2 (strongswan), а именно NetworkManager-strongswan NetworkManager-strongswan-gnome strongswan strongswan-charon-nm strongswan-testing и даже поддержку i586, ну это уже потом, позже, не ставил только поддержку плазмы, в настройках сети у меня теперь появилась позиция при добавлении VPN IPsec/IKEv2 (strongswan), все здорово, но при добавлении VPN соединения, заполнения данных (адрес, логин, пароль и тд) не подключается, пишет сбой соединения. Пробовал делать соединение из под пользователя, из под пользователя с правами sudo, бесполезно.
На самом vpn сервере в логах пусто... он даже не пытается туда стучать...

Подскажите пожалуйста, куда капать?

На arch и debian при при добавлении NetworkManager-strongswan все прекрасно работало, а тут не могу понять.

Заранее благодарю за ответ, с уважением.

Оффлайн gttn

  • Начинающий
  • *
  • Сообщений: 6
Re: IPsec/IKEv2 (strongswan)
« Ответ #1 : 09.03.2022 11:00:22 »
В консоли пишет

user@pc ~ $ nmcli connection up ikev2
Ошибка: сбой активации подключения: Неизвестная причина
Подсказка: для получения дополнительных сведений используйте «journalctl -xe NM_CONNECTION=  ... + NM_DEVICE=wlp2s0»

В журнале написано..

Saw the service appear; activating connection
VPN connection: (ConnectInteractive) reply received
VPN plugin: state changed: starting (3)
VPN plugin: failed: connect-failed (1)
VPN plugin: failed: connect-failed (1)

VPN plugin: state changed: stopping (5)
VPN plugin: state changed: stopped (6)
VPN plugin: failed: login-failed (0)

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 903
    • Домашняя страница
    • Email
Re: IPsec/IKEv2 (strongswan)
« Ответ #2 : 09.03.2022 12:45:37 »
Надо включать отладку NetworkManager и смотреть в journalctl -u NetworkManager
Андрей Черепанов (cas@)

Оффлайн aleksey-v.

  • Завсегдатай
  • *
  • Сообщений: 347
Re: IPsec/IKEv2 (strongswan)
« Ответ #3 : 09.03.2022 14:02:02 »
Я бы начал с базовой проверки доступа к удалённому серверу.

telnet address port

echo | openssl s_client -connect address:port

Оффлайн gttn

  • Начинающий
  • *
  • Сообщений: 6
Re: IPsec/IKEv2 (strongswan)
« Ответ #4 : 09.03.2022 17:01:31 »
Надо включать отладку NetworkManager и смотреть в journalctl -u NetworkManager
Добрый день, спасибо за подсказку.

Судя по логу, на сколько я понимаю проблема связана с сертификатом безопасности.
Он сначала пытается использовать какие-то непонятные для меня, потом берет сертифкат сервера, пытается его использовать, но не находит к нему доверия.... насколько я понимаю.

Немного странная для меня ситуация.. учитывая, что с виндус машин, андройд, debian, archlinux вроде работает.

Не подскажите, куда дальше копать...

На ум приходит только попробовать взять сертификат сервера (не знаю право получился нет взять) и попробовать его в соединение прописать... хотя не факт что я верно мыслю.
Ну или каким то образом заставить доверять серверу ;-D ну эт уже так...

Заранее спасибо за подсказку.


05[CFG] received initiate for NetworkManager connection имя
05[CFG] using gateway identity 'адрес'
05[IKE] initiating IKE_SA имя[3] to ИП
05[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
05[NET] sending packet: from ИП[порт] to ИП[порт] (336 bytes)
<info>  [...] vpn-connection[...]: VPN plugin: state changed: startin (3)
06[NET] received packet: from ип[порт] to ип[порт] (3329 bytes)
06[ENC] parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(HASH_ALG) N(CHDLESS_SUP) N(MULT_AUTH) ]
06[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024
06[IKE] local host is behind NAT, sending keep alives
06[IKE] received cert request for "CN=ACCVRAIZ1, OU=PKIACCV, O=ACCV, C=ES"
06[IKE] received 148 cert requests for an unknown ca
06[IKE] sending cert request for "CN=ACCVRAIZ1, OU=PKIACCV, O=ACCV, C=ES"
06[IKE] establishing CHILD_SA имя{3}
06[ENC] generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) CERTREQ CPRQ(ADDR ADDR6 DNS NBNS DNS6) N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(NO_AD...
06[NET] sending packet: from ип[порт] to ип[порт] (480 bytes)
07[NET] received packet: from ип[порт] to ип[порт] (1236 bytes)
07[ENC] parsed IKE_AUTH response 1 [ EF(1/2) ]
07[ENC] received fragment #1 of 2, waiting for complete IKE message
08[NET] received packet: from ип[порт] to ип[порт] (1060 bytes)
08[ENC] parsed IKE_AUTH response 1 [ EF(2/2) ]
<warn>  [1646832220.2107] vpn-connection[...]: VPN plugin: failed: connect-failed>
08[ENC] received fragment #2 of 2, reassembled fragmented IKE message (2224 bytes)
<warn>  [1646832220.2109] vpn-connection[...]: VPN plugin: failed: connect-failed>
08[ENC] parsed IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
<info>  [1646832220.2110] vpn-connection[...]: VPN plugin: state changed: stoppin>
08[IKE] received end entity cert "CN=адрес"
<info>  [1646832220.2111] vpn-connection[...]: VPN plugin: state changed: stopped>
08[CFG]   using certificate "CN=имя"
<warn>  [1646832220.2119] vpn-connection[...]: VPN plugin: failed: login-failed (>
08[CFG] no issuer certificate found for "CN=имя"
08[CFG]   issuer is "C=US, O=Let's Encrypt, CN=R3"
08[IKE] no trusted RSA public key found for 'адрес'
08[ENC] generating INFORMATIONAL request 2 [ N(AUTH_FAILED) ]
08[NET] sending packet: from ип[порт] to ип[порт] (80 bytes)

Оффлайн gttn

  • Начинающий
  • *
  • Сообщений: 6
Re: IPsec/IKEv2 (strongswan)
« Ответ #5 : 09.03.2022 17:02:08 »
Я бы начал с базовой проверки доступа к удалённому серверу.

telnet address port

echo | openssl s_client -connect address:port


Спасибо. Сервер работает

Оффлайн aleksey-v.

  • Завсегдатай
  • *
  • Сообщений: 347
Re: IPsec/IKEv2 (strongswan)
« Ответ #6 : 09.03.2022 17:05:59 »
Многие VPN серверы используют self-signed CA. Особенно, если сами делали Access Server OpenVPN по инструкции.

Поэтому я и предложил посмотреть детали сертификата командой

echo | openssl s_client -connect address:port

Оффлайн gttn

  • Начинающий
  • *
  • Сообщений: 6
Re: IPsec/IKEv2 (strongswan)
« Ответ #7 : 09.03.2022 17:14:09 »
echo | openssl s_client -connect address:port

Если мне память не изменяет ПО Айдеко, по VPN открыто только IPsec/IKEv2 (strongswan) и все, OpenVPN закрыт.

Если по команде...
echo | openssl s_client -connect адрес:порт
139744435201856:error:0200206F:system library:connect:Connection refused:crypto/bio/b_sock2.c:110:
139744435201856:error:2008A067:BIO routines:BIO_connect:connect error:crypto/bio/b_sock2.c:111:
connect:errno=111

Оффлайн gttn

  • Начинающий
  • *
  • Сообщений: 6
Re: IPsec/IKEv2 (strongswan)
« Ответ #8 : 10.03.2022 07:16:44 »
08[CFG] no issuer certificate found for "CN=имя"
Взял файл root_ca.crt на сервере Айдеко, положил его в /etc/strongswan/ipsec.d/cacerts создал заново подключение, кое что конечно поменялось, но не намного, информацию взял тут https://wiki.strongswan.org/issues/1540

Теперь я так понимаю с доверием надо разобраться.... что-то я походу не доделал )


09[CFG]   issuer is "C=US, O=Let's Encrypt, CN=R3"
09[IKE] no trusted RSA public key found for 'адрес'
09[ENC] generating INFORMATIONAL request 2 [ N(AUTH_FAILED) ]
09[NET] sending packet: from ип[порт] to ип[порт] (80 bytes)