Jump to content

nuzhinm

Forum Members
  • Posts

    23
  • Joined

  • Last visited

Equipment

  • Keenetic
    Hopper (KN-3810)

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

nuzhinm's Achievements

Member

Member (2/5)

0

Reputation

  1. Здравствуйте. Помогите, пожалуйста, разобраться! В общении с поддержкой зашел в тупик. После обновления на 3.9 встроенные VPN клиенты в Windows 7 и 10 перестали подключаться к серверу IPSEC IKEv2. При этом клиент StrongSwan на андроиде 12 легко подключается к серверу. Если откатиться на 3.8.5, то windows клиенты соединения устанавливают и работают. Но в этой прошивке плохо работает клиент IKEv2 и через 8 часов теряет сертификат и рвет соединение. Затем оно уже не поднимается пока не сделать рестарт сервису IPSEC. Остаться на 3.8.5 не могу, потому что нужно подключение к моей VPS для обхода блокировок. Более ранних резервных копий у меня, к моему огромному сожалению, нет. У поддержки получилось установить соединение с моим роутером, я, правда, не знаю какой клиент они использовали. Андроид у меня тоже соединяется. Поддержка настаивает, что провайдер режет фрагментированный UDP трафик. Вот что они говорят: "Ваш провайдер видимо блокирует UDP трафик фрагментированный. Такое бывает крайне часто. У меня в одной из доступных сетей также оператор не разрешает прохождение фрагментированного UDP В 3.8.5 отличалось поведение так как было меньше присетов и соответственно если снять на 3.8.5 то вероятно увидите обмен без фрагментации." Я обратился в поддержку провайдера. Они перенаправили на админов, те перезвонили и заверили что не блокируют фрагментированный UDP трафик. Вот, тупик. Понимаю что для начала нужно понять проблема в сервере или в клиенте, но не понимаю как это сделать. Буду весьма признателен за помощь в моем вопросе.
  2. @Alexey Lyahkov т.е. в момент когда заканчивается время аренды адреса?
  3. Я хочу откатиться на 3.8 но при установке дополнительных пакетов роутер обновляет прошивку до актуальной.
  4. Я обращался в поддержку, они подтвердили проблему. В описании к KeeneticOS 3.9 Beta 2 от 07/11/2022 есть : "Исправлена причина периодических отключений VPN-туннеля IKEv2. [NDM-2413]" Видио исправили, жду обновления до 3.9
  5. Поддержка подсказала как легко реанимировать соединение. Нужно выполнить команды: (config)> no service ipsec (config)> service ipsec Просят несколько раз подряд выполнить эти команды, хотя и после первого введения соединение моментально поднимается. Правда работает ~7 часов и опять пропадает. Рекомендовали пока использовать другой протокол.
  6. Вот прям сейчас откатил на 3.8.5. И тут же keenetic перестал подключаться к серверу strongSwan, зато встроенный клиент на win7 сходу соединился с kenetic. Либо одно работает, либо другое )
  7. Не проверял, соединение устанавливалось без подгрузки сертификата. На 3.9 альфа9 к кинетику перестал подключаться встроенный клиент на win7 по все тому же IKEv2 EAP. Сейчас вернулся на 3.8.5. Поддержка запросила логи с сервера и селфтест роутера. Может что хорошее выйдет из этого.
  8. Скачал сертификаты CA и самого сервера, добавлял по очереди в настройках соединения. Соединение не заработало. Обновился, соединение установилось без подгрузки сертификатов. Буду наблюдать как оно будет работать.
  9. Как вариант, буду пробовать. Но сначала попытаюсь разобраться в чем проблема.
  10. При выполнении скрипта который разворачивает сервер strongSwan я вводил доменное имя сервера это нужно Let's Encrypt для создания SSL сертификата сервера. И в логах, насколько я смог разобраться, видно что роутер его получает от сервера. Я сомневаюсь что здесь дело в сертификате. Полгода роутер стабильно держал связь с сервером, а сейчас пересал. Другие клиенты на android, windows, ios продолжают стабильно работать. [I] Sep 17 21:24:42 ipsec: 12[IKE] received end entity cert "CN=**.**.**.**.sslip.io" [I] Sep 17 21:24:42 ipsec: 12[CFG] using certificate "CN=**.**.**.**.sslip.io" [I] Sep 17 21:24:42 ipsec: 12[CFG] using trusted intermediate ca certificate "C=US, O=Let's Encrypt, CN=R3" [I] Sep 17 21:24:42 ipsec: 12[CFG] system time out of sync, skipping certificate lifetime check [I] Sep 17 21:24:42 ipsec: 12[CFG] using trusted intermediate ca certificate "C=US, O=Internet Security Research Group, CN=ISRG Root X1" [I] Sep 17 21:24:42 ipsec: 12[CFG] system time out of sync, skipping certificate lifetime check [I] Sep 17 21:24:42 ipsec: 12[CFG] system time out of sync, skipping certificate lifetime check [I] Sep 17 21:24:42 ipsec: 12[CFG] no issuer certificate found for "C=US, O=Internet Security Research Group, CN=ISRG Root X1" [I] Sep 17 21:24:42 ipsec: 12[CFG] issuer is "O=Digital Signature Trust Co., CN=DST Root CA X3" [I] Sep 17 21:24:42 ipsec: 09[CFG] rereading ca certificates from '/tmp/ipsec/ipsec.d/cacerts' [I] Sep 17 21:24:42 ipsec: 12[IKE] no trusted RSA public key found for '**.**.**.**.sslip.io' [E] Sep 17 21:24:42 ndm: IpSec::Configurator: unable to authenticate remote peer for crypto map "IKE0". Если я все правильно понимаю, то по логу видно, что клиент не доверяет полученному от сервера сертификату. Почему это вдруг начинает происходить через некоторое время работы туннеля и как это исправить я не понимаю. Вот статья как настроить VPN-сервер IKEv2 на Keenetic, вот статья как настроить VPN-клиента IKEv2 на Keenetic. При этом клиент доверяет серверу потому что для его домена keenetic.pro выпущен ssl сертификат, а сервер не требует от клиента никаких сертификатов. Моя связка сервер-клиент работает также.
  11. После сброса соединение проработало меньше суток и снова перестало устанавливаться. Получается что в роутере накапливается какая-то информация которая в дальнейшем мешает установить соединение? Поддержка настаивает чтобы я подгрузил в кинетик сертификат CA, но у меня нет сертификатов. Сервер развернут с помощью скрипта jawj IKEv2. Он идентифицирует себя с помощью сертификата Let's Encrypt, поэтому клиентам не нужно устанавливать частные сертификаты — они могут просто аутентифицироваться с помощью имени пользователя и надежного пароля (EAP-MSCHAPv2) И ведь все замечательно работало с апреля, а сейчас начались проблемы. Помогайте разобраться, я в тупик зашёл. Во вложении лог с keenetic log.txt
  12. Помогает сброс настроек и создание соединения заново. Если восстановить настройки, то перестает работать даже если удалить и создать подключение заново.
  13. У меня клиент IKEv2 на keenetic hopper перестал подключаться к серверу StrongSwan IKEv2. Я предполагаю что после обновления ос роутера до версии 3.8.5 Другие клиенты (android, windows, ios) продолжают работать без проблем. Конфигурацию сервера не менял, конфигурацию клиента тоже. Помогите разобраться в чем причина.
×
×
  • Create New...