Задать вопрос
littleguga
@littleguga
Не стыдно не знать, а стыдно не интересоваться.
сетевое-администрирование

Как исправить ошибку при подключении клиента к VPN(ipsec+ikev2)?

Сделана авторизация по сертификатам

ubuntu 16.04 + strongswan.

Подключаюсь с win7, сертификаты добавил, как описано у них в вики.

Конфиг настраивал тоже следуя их вики, правда на plutostart=no, он ругался, что deprecated, так что я его убрал
ipsec.conf:
config setup
     #plutostart=no

conn win7
     left=%defaultroute
     leftcert=vpnHostCert.der
     leftsubnet=0.0.0.0/0
     right=%any
     rightsendcert=never
     rightsourceip=10.42.42.0/24,2002:25f7:7489:3::/112
     keyexchange=ikev2
     auto=add


В логе:
Jun 28 03:20:26 myserver charon: 12[IKE] IKE_SA (unnamed)[2] state change: CONNECTING => DESTROYING
Jun 28 03:20:30 myserver charon: 13[NET] received packet: from MYIP[500] to SERVERIP[500] (528 bytes)
Jun 28 03:20:30 myserver charon: 13[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
Jun 28 03:20:30 myserver charon: 13[IKE] MYIP is initiating an IKE_SA
Jun 28 03:20:30 myserver charon: 13[IKE] IKE_SA (unnamed)[3] state change: CREATED => CONNECTING
Jun 28 03:20:30 myserver charon: 13[IKE] remote host is behind NAT
Jun 28 03:20:30 myserver charon: 13[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(MULT_AUTH) ]
Jun 28 03:20:30 myserver charon: 13[NET] sending packet: from SERVERIP[500] to MYIP[500] (308 bytes)
Jun 28 03:21:00 myserver charon: 14[JOB] deleting half open IKE_SA after timeout
Jun 28 03:21:00 myserver charon: 14[IKE] IKE_SA (unnamed)[3] state change: CONNECTING => DESTROYING
  • Вопрос задан
  • 3401 просмотр
Комментировать
Подписаться 1 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 1
CityCat4
@CityCat4 Куратор тега VPN
Внимание! Изменился адрес почты!
А, простите, клиент на винде какой? Чтобы подключиться с винды, нужно преизрядно побиться головой об монитор... В логе видно, что просто ничего не произошло. Шван получил запрос на порт 500, послал ответ, в ответ не получил ничего и спокойно заснул дальше.

Вот в качестве примера конфиг, проверенный на Win7, на клиентах ShrewSoft и TheGreenBow
conn any-deltahwCA-rsa-sleepycat
        auto=add
        left=1.2.3.4
        leftid="<здесь subject сертификата сервера>"
        leftauth=pubkey
        leftcert=servercert.crt
        leftsubnet=10.1.1.0/24
        leftca="<здесь subject СA, выдавшего сертификат серверу>"
        leftfirewall=yes
        leftdns=10.1.1.1,10.1.1.4
        right=%any
        rightallowany=yes
        rightsourceip=10.1.1.28-10.1.1.30
        rightid="<здесь subject сертификата винды>"
        rightcert=windacert.crt
        rightauth=pubkey
        rightca="<здесь subject CA выдавшего сертификат винде>"
        keyexchange=ikev1
        ike=aes128-sha-modp1024,aes192-sha-modp1024,aes256-sha-modp1024!
        esp=aes128-sha-modp1024,aes192-sha-modp1024,aes256-sha-modp1024
        ikelifetime=2h
        lifetime=1h


Чтобы работала авторизация по сертификатам нужно сначала выдать (или получить) сертификат на сервер, на клиент, их соответственно поставить всюду, на сервер положить сертификат клиента. Данный пример рассчитан на прием соединения откуда угодно с динамическим назначением IP из указанного диапазона
Ответ написан
3 комментария
3 комментария
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Системный инженер
САТЕЛ Нижний Новгород
от 160 000 ₽
Специалист технической поддержки (работа из офиса г.Казань)
Данафлекс Казань
от 60 000 ₽
Инженер по системному администрированию
Деловая среда от Сбербанка Москва
До 209 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Изменение темы сайта на ghost cms
02 мая 2024, в 04:47
5000 руб./за проект
Symfony, Vue - Сервис автоматизации бизнеса натяжных потолков
02 мая 2024, в 04:44
700 руб./в час
Интеграция бс24 с сайтом на битрикс
02 мая 2024, в 03:39
7000 руб./за проект
Ещё заказы