Как исправить ошибку при подключении клиента к VPN(ipsec+ikev2)?

Question

[littleguga]

Сделана авторизация по сертификатам

ubuntu 16.04 + strongswan.

Подключаюсь с win7, сертификаты добавил, как описано у них в вики.

Конфиг настраивал тоже следуя их вики, правда на plutostart=no, он ругался, что deprecated, так что я его убрал
ipsec.conf:

config setup
     #plutostart=no

conn win7
     left=%defaultroute
     leftcert=vpnHostCert.der
     leftsubnet=0.0.0.0/0
     right=%any
     rightsendcert=never
     rightsourceip=10.42.42.0/24,2002:25f7:7489:3::/112
     keyexchange=ikev2
     auto=add

В логе:

Jun 28 03:20:26 myserver charon: 12[IKE] IKE_SA (unnamed)[2] state change: CONNECTING => DESTROYING
Jun 28 03:20:30 myserver charon: 13[NET] received packet: from MYIP[500] to SERVERIP[500] (528 bytes)
Jun 28 03:20:30 myserver charon: 13[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
Jun 28 03:20:30 myserver charon: 13[IKE] MYIP is initiating an IKE_SA
Jun 28 03:20:30 myserver charon: 13[IKE] IKE_SA (unnamed)[3] state change: CREATED => CONNECTING
Jun 28 03:20:30 myserver charon: 13[IKE] remote host is behind NAT
Jun 28 03:20:30 myserver charon: 13[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(MULT_AUTH) ]
Jun 28 03:20:30 myserver charon: 13[NET] sending packet: from SERVERIP[500] to MYIP[500] (308 bytes)
Jun 28 03:21:00 myserver charon: 14[JOB] deleting half open IKE_SA after timeout
Jun 28 03:21:00 myserver charon: 14[IKE] IKE_SA (unnamed)[3] state change: CONNECTING => DESTROYING

Answer 1

[CityCat4]

А, простите, клиент на винде какой? Чтобы подключиться с винды, нужно преизрядно побиться головой об монитор... В логе видно, что просто ничего не произошло. Шван получил запрос на порт 500, послал ответ, в ответ не получил ничего и спокойно заснул дальше.

Вот в качестве примера конфиг, проверенный на Win7, на клиентах ShrewSoft и TheGreenBow

conn any-deltahwCA-rsa-sleepycat
        auto=add
        left=1.2.3.4
        leftid="<здесь subject сертификата сервера>"
        leftauth=pubkey
        leftcert=servercert.crt
        leftsubnet=10.1.1.0/24
        leftca="<здесь subject СA, выдавшего сертификат серверу>"
        leftfirewall=yes
        leftdns=10.1.1.1,10.1.1.4
        right=%any
        rightallowany=yes
        rightsourceip=10.1.1.28-10.1.1.30
        rightid="<здесь subject сертификата винды>"
        rightcert=windacert.crt
        rightauth=pubkey
        rightca="<здесь subject CA выдавшего сертификат винде>"
        keyexchange=ikev1
        ike=aes128-sha-modp1024,aes192-sha-modp1024,aes256-sha-modp1024!
        esp=aes128-sha-modp1024,aes192-sha-modp1024,aes256-sha-modp1024
        ikelifetime=2h
        lifetime=1h

Чтобы работала авторизация по сертификатам нужно сначала выдать (или получить) сертификат на сервер, на клиент, их соответственно поставить всюду, на сервер положить сертификат клиента. Данный пример рассчитан на прием соединения откуда угодно с динамическим назначением IP из указанного диапазона

Comments

[littleguga]

Спасибо, попробую.
Делал по этому гайду: https://raymii.org/s/tutorials/IPSEC_vpn_with_Ubun...
Подключаюсь стандартным "создать сеть-vpn"

[CityCat4]

littleguga: А винда уже умеет быть чистым IPSec-клиентом, работающим по порту 500?

[littleguga]

CityCat4: вроде как должна. Пока не пробовал ответ.