Клиент IKEv2 Windows: почему Windows не принимает новые входящие пакеты?

Question

[durman4eg]

Здравствуйте.
Может быть кто-то сталкивался со следующим:

Сервер VPN IPSec IKEv2 на Debian 11/12. Допустим пусть будет белый IP-адрес 85.1.1.1
Авторизация по EAP-MSCHAPv2 логин/пароль/самоподписанный сертификат
Клиенты: Windows 10/11, Android, у клиентов адреса из пула 192.168.15.0/24.

Все клиенты благополучно ходят через туннель во внешний мир, все работает. Однако при попытке подключения к клиенту Windows 10/11 (например по RDP) или сделать ping - ничего не получается. С клиентами под андроид такого не наблюдается. Все в рамках шифрованного туннеля, разумеется

Фаерволл в Windows отключен. Причем на клиенте Windows в Wireshark на рабочем интерфейсе я вижу шифрованный ESP-пакет, а затем сразу пакет ICMP-reply с адресом источника 192.168.15.1 и адресом назначения назначения VPN-сервера 85.1.1.1.
Исходя из всего этого ясно, что icmp-request приходит на клиент Windows внутри ESP, сразу же расшифровывается, и на него клиент шлет icmp-reply. А дальше затык. Покопался в гуглах - ничего нормального так и не смог найти.

Answer 1

[CityCat4]

На сервере, надо полагать шван? И режим roadwarrior?
На винде клиент встроенный? Какие политики возникают на шване при подключении и какие настройки формируются в винде?

Comments

[durman4eg]

Да, на сервере strongswan стандартный из репозитория. Режим roadwarrior.
В качестве клиента тоже встроенный в Windows клиент IKEv2. В общем ничего со стороны, все стандартное.

После подключения на стороне сервера формируются две политики
#ip xfrm state
src SERVER_IP dst CLIENT_IP
proto esp spi 0x030549db reqid 2 mode tunnel
replay-window 0 flag af-unspec
aead rfc4106(gcm(aes)) 0xe6233b3ef259ae6ac40e1b1acab59d02d2e9fb1af068bdcb9658f37ed12557c9f65dfb41 128
encap type espinudp sport 4500 dport 4826 addr 0.0.0.0
anti-replay context: seq 0x0, oseq 0xa38e, bitmap 0x00000000
src CLIENT_IP dst SERVER_IP
proto esp spi 0xc8ef5c98 reqid 2 mode tunnel
replay-window 32 flag af-unspec
aead rfc4106(gcm(aes)) 0xadef50d64dcc1c32a9496f56d7bbea78d6ba72e841130d7f148ac61c9c0305aa652db19d 128
encap type espinudp sport 4826 dport 4500 addr 0.0.0.0
anti-replay context: seq 0xcf18, oseq 0x0, bitmap 0xffffffff

[durman4eg]

На стороне Windows:

[durman4eg]

# ip xfrm policy

src 0.0.0.0/0 dst 192.168.15.1/32
dir out priority 383615 ptype main
tmpl src SERVER_IP dst CLIENT_IP
proto esp spi 0xe42ee227 reqid 2 mode tunnel

src 192.168.15.1/32 dst 0.0.0.0/0
dir fwd priority 383615 ptype main
tmpl src CLIENT_IP dst SERVER_IP
proto esp reqid 2 mode tunnel

src 192.168.15.1/32 dst 0.0.0.0/0
dir in priority 383615 ptype main
tmpl src CLINET_IP dst SERVER_IP
proto esp reqid 2 mode tunnel

src 0.0.0.0/0 dst 0.0.0.0/0
socket in priority 0 ptype main
src 0.0.0.0/0 dst 0.0.0.0/0
socket out priority 0 ptype main
src 0.0.0.0/0 dst 0.0.0.0/0
socket in priority 0 ptype main
src 0.0.0.0/0 dst 0.0.0.0/0
socket out priority 0 ptype main
src ::/0 dst ::/0
socket in priority 0 ptype main
src ::/0 dst ::/0
socket out priority 0 ptype main
src ::/0 dst ::/0
socket in priority 0 ptype main
src ::/0 dst ::/0
socket out priority 0 ptype main