Задать вопрос
@alovanton
linux

Не поднимается новое соединение ipsec, почему?

Ошибка: unable to resolve %any, initiate aborted
tried to check-in and delete nonexisting IKE_SA
establishing connection 'IPsec' failed

Конфиг:
conn IPsec
        left=45.58.46.74   / адрес внешнего интерфейса
        leftsubnet=0.0.0.0/0
        leftid=45.58.46.74
        leftcert=fullchain.pem
        leftauth=pubkey   / говорим, что мы авторизуемся у клиент с помощью сертификата RSA

        right=%any  / к нам можно подключиться с любого IP
        rightauth=pubkey
        rightdns=8.8.8.8
        auto=add  / подключение будет инициироваться клиентом
        keyexchange=ikev2
        type=tunnel

Логи
May  5 12:31:37 Devserver charon: 08[ENC] generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
May  5 12:31:37 Devserver charon: 08[NET] sending packet: from 45.58.46.74[4500] to 5.31.156.60[24018] (80 bytes)
May  5 12:31:37 Devserver charon: 08[IKE] IKE_SA (unnamed)[4] state change: CONNECTING => DESTROYING

Как я понимаю авторизация не проходит по ключу.

В чем может быть такая типичная ошибка?
  • Вопрос задан
  • 2272 просмотра
2 комментария
Подписаться 1 Оценить 2 комментария
Пригласить эксперта
Ответы на вопрос 1
CityCat4
@CityCat4 Куратор тега Сетевое администрирование
//COPY01 EXEC PGM=IEBGENER
Вот вариант конфига, специально заточенного под подключение виндовых клиентов неведомо откуда с авторизацией по сертификатам.
conn any-deltahwCA-rsa-shrewsoft
        auto=add
        left=195.60.хх.хх
        leftid="тут subject сертификата"
        leftauth=pubkey
        leftcert=logsrv.crt
        leftsubnet=10.0.1.0/24
        leftca="тут subject CA сертификата"
        leftfirewall=yes
        leftdns=10.0.1.233,10.0.1.234
        right=%any
        rightallowany=yes
        rightsourceip=10.0.1.28-10.0.1.30
        rightid="тут subject сертификата"
        rightcert=sleepycat.crt
        rightauth=pubkey
        rightca="тут subject CA сертификата"
        keyexchange=ikev1
        ike=aes128-sha-modp1024,aes192-sha-modp1024,aes256-sha-modp1024!
        esp=aes128-sha-modp1024,aes192-sha-modp1024,aes256-sha-modp1024


195.60.xx.xx - внешний IP сервера, 10.0.1.0/24 - внутренняя сетка. У каждого клиента свой сертификат.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Системный администратор Astra Linux
Гринатом Новосибирск
До 60 000 ₽
Системный инженер (Windows/Astra Linux)
Гринатом Новосибирск
До 57 000 ₽
Ведущий инженер Linux
Интер РАО – Управление сервисами Москва
от 180 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Доработать админскую часть: Angular
25 нояб. 2024, в 17:04
1000 руб./в час
Разработать автозапуск под Oculus Quest 2\3\3s (версия 71)\Pico 4
25 нояб. 2024, в 17:02
50000 руб./за проект
Дизайн логотипа
25 нояб. 2024, в 17:00
3000 руб./за проект
Ещё заказы