Задать вопрос
littleguga
@littleguga
Не стыдно не знать, а стыдно не интересоваться.

В чем проблема с подключением к ipsec+ikev2 через сертификаты?

Смотрю wireshark'ом на клиенте и tcpdump'ом на сервере.

Проходит так:
клиент запрашивает у сервера ikev_init
сервер отвечает
клиент отправляет свой сертификат и поддерживаемые шифры
сервер их получает и отправляет ответ
клиент не получает этот ответ! (в некоторых сетях тот же самый клиент получает его и тогда подключение к VPN проходит успешно)

Сервер отправляет пакет, но на клиент он не доходит:

mysite = домен моего сервера
clientdomain - мой клиент
17:27:23.187306 IP (tos 0x0, ttl 64, id 48370, offset 0, flags [DF], proto UDP (17), length 365)
    mysite.isakmp > clientdomain.432: isakmp 2.0 msgid 00000000: parent_sa ikev2_init[R]:
    (sa: len=44
        (p: #2 protoid=isakmp transform=4 len=44
            (t: #1 type=encr id=aes (type=keylen value=0100))
            (t: #2 type=integ id=hmac-sha )
            (t: #3 type=prf id=hmac-sha )
            (t: #4 type=dh id=modp1024 )))
    (v2ke: len=128 group=modp1024)
    (nonce: len=32 data=(c4a4d5aed36e40823c9a...bf291b136ca24898abf4000b0000000800004014))
    (n: prot_id=#0 type=16388(nat_detection_source_ip))
    (n: prot_id=#0 type=16389(nat_detection_destination_ip))
    (v2cr: len=21)
    (n: prot_id=#0 type=16404(status))


На клиенте wireshark'ом этого пакета нет, остальные есть:
0ccbcdc9ab844e078bff0d6ab32201f9.png

В чем может быть проблема?

Такое в некоторых сетях(2ком, некоторые от мгтс). В некоторых сетях от мгтс данный волшебный пакетик доходит и тогда к VPN подключается успешно.
  • Вопрос задан
  • 4283 просмотра
Подписаться 3 Оценить Комментировать
Решения вопроса 3
athacker
@athacker
Есть основания полагать, что это криво настроенный ALG на сети провайдера. У вас клиент за провайдерским NAT'ом, и этот NAT режет пакеты. У Онлайма в сети такое происходит с L2TP -- сервер шлёт пакет согласования параметров соединения, клиент его получает и ОТВЕЧАЕТ. Но до сервера ответ не доходит. Вывод -- режется провайдером. Бороться с этим, вероятнее всего, бесполезно. Я с онлаймом с апреля бодаюсь по этому поводу. "Ваше обращение передано в профильный отдел, бла-бла-бла". Причём какой конкретно отдел является "профильным" -- они не говорят. Ну то есть, иными словами, болт они кладут на такие заявки, и ни в какие "профильные отделы" оно не перенаправляется.

В вашем случае выход -- строить IPSec в другом туннеле -- L2TP или PPTP.
Ответ написан
@Oleg1345140
Была подобная проблема с местным провайдером (как athacker написал), решилось буквально за пару дней общения с провайдером, объяснил в чем проблема, сказали посмотрят и позднее написали что поправили проблему на своей стороне. Работает уже несколько лет.
Ответ написан
Комментировать
@Alexander_O
Недавно был вынужден временно переключиться на злополучный МГТС*, и тоже столкнулся со схожей проблемой. IKEv2 RSA не работает на Windows, в то время как L2TP+IPsec (IKEv1 PSK) спокойно заводилось. При этом на iOS 11.1 beta 5 IKEv2 RSA также спокойно заводилось.

После проверки через WireShark выяснилось, что пакеты в сети МГТСа фрагментируются (забегая вперёд скажу сразу, что принудительное понижение MTU на клиентском интерфейсе ни к чему не привело).
59f0f84a9aecf600901069.png(естественно это было бы невозможно выявить при использовании жёсткого фильтра на порты UDP 500 и 4500, как это было показано на скриншоте в изначальном вопросе)

И с этим вроде бы должна справляться опция fragmentation = yes на стороне strongSwan, однако Windows 10, по всей видимости, так и не научилась работать с фрагментированными пакетами в IKEv2:

Windows clients support IKEv1 fragmentation, but not IKEv2 fragmentation.

© https://wiki.strongswan.org/projects/strongswan/wi...

* — после подключения белого IP-адреса (МГТС по умолчанию всех прячет за NAT) указанная проблема исчезла.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
Попробуйте проверить MTU
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы