Автор Тема: Настройка консольного VPN strongswan  (Прочитано 1414 раз)

Оффлайн nefoser

  • Участник
  • *
  • Сообщений: 6
Добрый день!
В наличии регулярная сборка с KDE.
По инструкции заказчика пытаюсь настроить консольный VPN strongsvan, сам strongsvan установлен
[test@host-15 ~]$ sudo apt-get install strongswan
[sudo] password for test:
Чтение списков пакетов... Завершено
Построение дерева зависимостей... Завершено
Последняя версия strongswan уже установлена.
0 будет обновлено, 0 новых установлено, 0 пакетов будет удалено и 0 не будет обновлено.
[test@host-15 ~]$

однако при попытке выполнить команды:

strongswan restart
strongswan update
strongswan rereadsecrets

Я получаю вывод терминал о том, что команда не найдена

[test@host-15 ~]$ strongswan restart
bash: strongswan: команда не найдена
[test@host-15 ~]$

Тех поддержка заказчика помочь не может, так как у них есть инстуркции только для Убунты и Федоры.

Оффлайн alxl

  • Участник
  • *
  • Сообщений: 157
Re: Настройка консольного VPN strongswan
« Ответ #1 : 29.06.2024 01:35:42 »
strongswan нужно запускать из под root`а

Оффлайн nefoser

  • Участник
  • *
  • Сообщений: 6
Re: Настройка консольного VPN strongswan
« Ответ #2 : 29.06.2024 13:46:32 »
Да, спасибо, точно, чего-то я ступил.
Но подключится не может все равно... так как при запуске выводятся ошибки на resolvconf и что-то еще(((
[test@host-15 ~]$ sudo strongswan up CP
initiating IKE_SA CP[2] to 91.230.191.237
generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) V ]
sending packet: from 10.0.2.15[500] to 91.230.191.237[500] (1400 bytes)
received packet: from 91.230.191.237[500] to 10.0.2.15[500] (501 bytes)
parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_S_IP) N(NATD_S_IP) N(NATD_D_IP) CERTREQ ]
selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
local host is behind NAT, sending keep alives
received 1 cert requests for an unknown ca
establishing CHILD_SA CP{2}
generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr CPRQ(ADDR DNS) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
sending packet: from 10.0.2.15[4500] to 91.230.191.237[4500] (464 bytes)
received packet: from 91.230.191.237[4500] to 10.0.2.15[4500] (1248 bytes)
parsed IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
received end entity cert "O=SMS-VM-test..jmpg2k, CN=ClusterVPN VPN Certificate"
  using trusted certificate "O=SMS-VM-test..jmpg2k, CN=ClusterVPN VPN Certificate"
no issuer certificate found for "O=SMS-VM-test..jmpg2k, CN=ClusterVPN VPN Certificate"
  issuer is "O=SMS-VM-test..jmpg2k"
  reached end of incomplete trust chain for trusted certificate "O=SMS-VM-test..jmpg2k, CN=ClusterVPN VPN Certificate"
authentication of '91.230.191.237' with RSA signature successful
server requested EAP_IDENTITY (id 0x66), sending 'o.rudakov'
generating IKE_AUTH request 2 [ EAP/RES/ID ]
sending packet: from 10.0.2.15[4500] to 91.230.191.237[4500] (96 bytes)
received packet: from 91.230.191.237[4500] to 10.0.2.15[4500] (80 bytes)
parsed IKE_AUTH response 2 [ EAP/REQ/GTC ]
server requested EAP_GTC authentication (id 0x67)
generating IKE_AUTH request 3 [ EAP/RES/GTC ]
sending packet: from 10.0.2.15[4500] to 91.230.191.237[4500] (96 bytes)
received packet: from 91.230.191.237[4500] to 10.0.2.15[4500] (80 bytes)
parsed IKE_AUTH response 3 [ EAP/SUCC ]
EAP method EAP_GTC succeeded, no MSK established
authentication of 'O=SMS-VM-test..jmpg2k, CN=ClusterVPN VPN Certificate' (myself) with EAP
generating IKE_AUTH request 4 [ AUTH ]
sending packet: from 10.0.2.15[4500] to 91.230.191.237[4500] (112 bytes)
received packet: from 91.230.191.237[4500] to 10.0.2.15[4500] (720 bytes)
parsed IKE_AUTH response 4 [ AUTH N(CRASH_DET) CPRP(ADDR DNS DNS DNS) SA TSi TSr N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) ]
authentication of '91.230.191.237' with EAP successful
installing DNS server 192.168.1.216 via resolvconf
resolvconf: /sbin/resolvconf: line 304: sd_booted: command not found
installing DNS server 192.168.1.92 via resolvconf
resolvconf: /sbin/resolvconf: line 304: sd_booted: command not found
installing DNS server 192.168.1.4 via resolvconf
resolvconf: /sbin/resolvconf: line 304: sd_booted: command not found
installing new virtual IP 10.12.22.144
IKE_SA CP[2] established between 10.0.2.15[O=SMS-VM-test..jmpg2k, CN=ClusterVPN VPN Certificate]...91.230.191.237[91.230.191.237]
scheduling reauthentication in 3395s
maximum IKE_SA lifetime 3575s
received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
selected proposal: ESP:AES_CBC_128/HMAC_SHA2_256_128/NO_EXT_SEQ
can't install route for 10.12.22.144/32 === 91.230.191.237/32 out, conflicts with IKE traffic
unable to install IPsec policies (SPD) in kernel
failed to establish CHILD_SA, keeping IKE_SA
sending DELETE for ESP CHILD_SA with SPI 391e71d8
generating INFORMATIONAL request 5 [ D ]
sending packet: from 10.0.2.15[4500] to 91.230.191.237[4500] (80 bytes)
received packet: from 91.230.191.237[4500] to 10.0.2.15[4500] (80 bytes)
parsed INFORMATIONAL response 5 [ ]
establishing connection 'CP' failed
[test@host-15 ~]$


Если что сертификат установлен согласно инструкции в /etc/strongswan/ipsec.d/certs/
« Последнее редактирование: 29.06.2024 17:57:26 от nefoser »

Оффлайн alxl

  • Участник
  • *
  • Сообщений: 157
Re: Настройка консольного VPN strongswan
« Ответ #3 : 29.06.2024 23:44:49 »
resolvconf: /sbin/resolvconf: line 304: sd_booted: command not found
не найден sd_booted. Это часть systemd. В каком пакете находится не знаю, но можно синаптике по запросу systemd поискать. Возможно что-нибудь с похожим названием отыщется.

Оффлайн nefoser

  • Участник
  • *
  • Сообщений: 6
Re: Настройка консольного VPN strongswan
« Ответ #4 : 30.06.2024 17:00:53 »
Возможно что-нибудь с похожим названием отыщется
Спасибо, попробую, хотя надежд мало уже)))
Боюсь придется на минте сидеть до конца, хотя и Альт привлекает сильно.:-(

Оффлайн gosts 87

  • Участник
  • *
  • Сообщений: 3 070
  • Дмитрий/Dmitry/德米特里/दिमित्री
« Последнее редактирование: 30.06.2024 17:35:16 от gosts 87 »

Оффлайн nefoser

  • Участник
  • *
  • Сообщений: 6
Re: Настройка консольного VPN strongswan
« Ответ #6 : 01.07.2024 15:22:17 »
Пакет установлен...
Может strongswan требует какую-то особую реализацию этого всего? Не понятно....

Оффлайн alxl

  • Участник
  • *
  • Сообщений: 157
Re: Настройка консольного VPN strongswan
« Ответ #7 : 01.07.2024 21:27:43 »
а в папке /sbin есть файл sd_booted ?
если есть, то можно попробовать strongswan не через sudo, а через  su- запустить (вдруг поможет)

Оффлайн nefoser

  • Участник
  • *
  • Сообщений: 6
Re: Настройка консольного VPN strongswan
« Ответ #8 : 02.07.2024 11:43:45 »
а в папке /sbin есть файл sd_booted ?
если есть, то можно попробовать strongswan не через sudo, а через  su- запустить (вдруг поможет)

 /sbin есть файл sd_booted - да

через  su- запустить - не прокатило (((
[test@host-15 ~]$ su -
Password:
[root@host-15 ~]# strongswan up CP
initiating IKE_SA CP[1] to 91.230.191.237
generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) V ]
sending packet: from 10.0.2.15[500] to 91.230.191.237[500] (1400 bytes)
received packet: from 91.230.191.237[500] to 10.0.2.15[500] (501 bytes)
parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_S_IP) N(NATD_S_IP) N(NATD_D_IP) CERTREQ ]
selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
local host is behind NAT, sending keep alives
received 1 cert requests for an unknown ca
establishing CHILD_SA CP{1}
generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr CPRQ(ADDR DNS) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
sending packet: from 10.0.2.15[4500] to 91.230.191.237[4500] (464 bytes)
received packet: from 91.230.191.237[4500] to 10.0.2.15[4500] (1248 bytes)
parsed IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
received end entity cert "O=SMS-VM-test..jmpg2k, CN=ClusterVPN VPN Certificate"
  using trusted certificate "O=SMS-VM-test..jmpg2k, CN=ClusterVPN VPN Certificate"
no issuer certificate found for "O=SMS-VM-test..jmpg2k, CN=ClusterVPN VPN Certificate"
  issuer is "O=SMS-VM-test..jmpg2k"
  reached end of incomplete trust chain for trusted certificate "O=SMS-VM-test..jmpg2k, CN=ClusterVPN VPN Certificate"
authentication of '91.230.191.237' with RSA signature successful
server requested EAP_IDENTITY (id 0x89), sending 'o.rudakov'
generating IKE_AUTH request 2 [ EAP/RES/ID ]
sending packet: from 10.0.2.15[4500] to 91.230.191.237[4500] (96 bytes)
received packet: from 91.230.191.237[4500] to 10.0.2.15[4500] (80 bytes)
parsed IKE_AUTH response 2 [ EAP/REQ/GTC ]
server requested EAP_GTC authentication (id 0x8A)
generating IKE_AUTH request 3 [ EAP/RES/GTC ]
sending packet: from 10.0.2.15[4500] to 91.230.191.237[4500] (96 bytes)
received packet: from 91.230.191.237[4500] to 10.0.2.15[4500] (80 bytes)
parsed IKE_AUTH response 3 [ EAP/SUCC ]
EAP method EAP_GTC succeeded, no MSK established
authentication of 'O=SMS-VM-test..jmpg2k, CN=ClusterVPN VPN Certificate' (myself) with EAP
generating IKE_AUTH request 4 [ AUTH ]
sending packet: from 10.0.2.15[4500] to 91.230.191.237[4500] (112 bytes)
received packet: from 91.230.191.237[4500] to 10.0.2.15[4500] (720 bytes)
parsed IKE_AUTH response 4 [ AUTH N(CRASH_DET) CPRP(ADDR DNS DNS DNS) SA TSi TSr N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) ]
authentication of '91.230.191.237' with EAP successful
installing DNS server 192.168.1.216 via resolvconf
resolvconf: /sbin/resolvconf: line 304: sd_booted: command not found
installing DNS server 192.168.1.92 via resolvconf
resolvconf: /sbin/resolvconf: line 304: sd_booted: command not found
installing DNS server 192.168.1.4 via resolvconf
resolvconf: /sbin/resolvconf: line 304: sd_booted: command not found
installing new virtual IP 10.12.23.166
IKE_SA CP[1] established between 10.0.2.15[O=SMS-VM-test..jmpg2k, CN=ClusterVPN VPN Certificate]...91.230.191.237[91.230.191.237]
scheduling reauthentication in 3379s
maximum IKE_SA lifetime 3559s
received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
selected proposal: ESP:AES_CBC_128/HMAC_SHA2_256_128/NO_EXT_SEQ
can't install route for 10.12.23.166/32 === 91.230.191.237/32 out, conflicts with IKE traffic
unable to install IPsec policies (SPD) in kernel
failed to establish CHILD_SA, keeping IKE_SA
sending DELETE for ESP CHILD_SA with SPI 85e29bdf
generating INFORMATIONAL request 5 [ D ]
sending packet: from 10.0.2.15[4500] to 91.230.191.237[4500] (80 bytes)
received packet: from 91.230.191.237[4500] to 10.0.2.15[4500] (80 bytes)
parsed INFORMATIONAL response 5 [ ]
establishing connection 'CP' failed

Оффлайн alxl

  • Участник
  • *
  • Сообщений: 157
Re: Настройка консольного VPN strongswan
« Ответ #9 : 02.07.2024 17:56:28 »
Странно, конечно. Файл есть, а resolvconf пишет, что не найден. Дальше у меня идеи кончились. По второй ошибке нашел на гитхабе ответ на такую-же проблему.  Sounds like you are trying to negotiate a host-to-host connection with the kernel-libipsec plugin enabled. That only works with special config options. To avoid it, use the kernel's IPsec implementation via kernel-netlink plugin. Если коротко, то вместо плагина kernel-libipsec нужно использовать плагин kernel-netlink.

Оффлайн nefoser

  • Участник
  • *
  • Сообщений: 6
Re: Настройка консольного VPN strongswan
« Ответ #10 : 02.07.2024 19:24:14 »
Спасибо!
Как вариант поставить 10-ку, у меня есть годовая лицензия на неё, и в альтовский сапорт написать....
По второй ошибке понятно, попробую с неё начать...