Почему не получается авторизоваться в vpn на ike2?

Question

[Michail]

Поднимаю впн на vps (amazon lightsail ) по статье .
Авторизация на винде и андройде не проходит, креды ввожу правильные. Сертификат вроде правильно сконфигурил.
Подскажите в чем может быть проблема?


Сервак на статичном ip

Подскажите какие логи приложить, приложу. В auth.log только ``is initiating an IKE_SA``

Comments

[Valentin Barbolin]

Надо больше логов смотреть. В windows системе тоже есть лог.

Я по этой же статье делал - все работает.

[Michail]

leftcert=server-cert.pem - Мне кажется что тут надо путь до него указать, он же лежит не в /etc, или не нужно?

Answer 1

[Michail]

Заработал. Везде в конфиги указывал путь до сертификатов начиная с /var. Методом проб и ошибок. Точно сказать трудно что было не так.
Еще падала - Ошибка сопоставления групповой политики. Тоже хз что это.

Answer 2

[АртемЪ]

Ну вам же русским языком сказано - неприемлемые учетные данные.

Comments

[Michail]

Отличный ответ, сразу стало все понятно. Какие указал в ipsec.secrets такие и ввожу

[АртемЪ]

Michail, Рад, что помог.

[Michail]

Ага

[АртемЪ]

Michail, Ну так отмечайте решением и закрывайте вопрос.

[Michail]

АртемЪ, не токсич, а то вдруг работу новую искать придеться

[АртемЪ]

Michail, Не понял смысла высказывания.

Answer 3

[CityCat4]

Я с этой фигней бьюсь уже достаточно долго, но так пока одолеть и не смог. Обидно что - однажды оно у меня работало, не с winX правда, а с win7 - а потом перестало и я понять ничего не могу, почему. Пока можно считать, что IPSec винда - микротик например (не знаю, что у Вас со второй стороны) на IKEv2 просто не работает.
АртемЪ , "неприемлемые учетные данные" - это сообщает винда. На самом деле, там данные приемлемные, проблема возникает на второй стороне, но почему - пока непонятно. Не все, что крякает как утка и плавает как утка - является уткой...

Comments

[АртемЪ]

Пока можно считать, что IPSec винда - микротик например (не знаю, что у Вас со второй стороны) на IKEv2 просто не работает.

Да все отлично работает - самый стабильный тип VPN.

Если винда сообщает неприемлемые учетные данные - они действительно неприелемые.
Может ошиблись в логине пароле, может сертификата нет в списке доверенных.

В общем проверить учетные данные еще раз, если не помогло, запросить их повторно у администратора сервера.

[CityCat4]

АртемЪ,

Может ошиблись в логине пароле

ТС - может быть. Я xauth не использую - и без того много хлопот по сертификатам для юзеров будет.

может сертификата нет в списке доверенных

Есть. В машинном списке точно есть. В юзерском - не пробовал разместить, потому что смысла особого нет, но попробую, когда снова доберусь.

Да все отлично работает - самый стабильный тип VPN.

Не спорю. Когда пробьешься сквозь препоны и рогатки настроек :D

Answer 4

[MarvinD]

Возможно, дело в заглавной букве в имени сертификата. Вот тут в разделе где создается сертификат клиента, даже вставка есть про это. Сам недавно столкнулся с этим, ломал голову 3 дня, почему так. А оказалось, что один сертификат я сделал маленькими буквами, а второй - заглавными (понравилось так). И искал долго, что за фигня.