[4.2А2, обмен с подсетями, которые не разрешены]

@r13

В окошках есть ipconfig и там все видно. Здесь как выйти,?

[4.2А2, обмен с подсетями, которые не разрешены]

@r13

Тогда как понять что, где, когда и на коком сетевом интерфейсе?

То по "show ipv6 prefixes" получается не все?

[4.2А2, обмен с подсетями, которые не разрешены]

@r13

 Не отображены в интерфейсе Link-local.

[4.2А2, обмен с подсетями, которые не разрешены]

4.2А2.

Идет обмен данными с подсетями которых не должно быть:

 

 

Information-request message from fe80::5241:1cff:fe48:98de port 546, transaction ID 0xC7E53A00
Мар 31 12:56:35
 
dhcpd
Sending Reply to fe80::5241:1cff:fe48:98de port 546
Мар 31 13:03:26
 
dhcpd
Information-request message from fe80::5241:1cff:fe48:98de port 546, transaction ID 0xC9A3FA00
Мар 31 13:03:26
 
dhcpd
Sending Reply to fe80::5241:1cff:fe48:98de port 546

 

При:

 

Действующие маршруты IPv4

 

Адрес назначения	Шлюз	Интерфейс
0.0.0.0/0	0.0.0.0	МТС (PPPoE)
62.112.*.*/32	0.0.0.0	МТС (PPPoE)
62.112.*.*/32	0.0.0.0	МТС (PPPoE)
95.165.*.*/32	0.0.0.0	МТС (PPPoE)
192.168.1.0/24	0.0.0.0	Домашняя сеть

Действующие маршруты IPv6

 

Адрес назначения	Шлюз	Интерфейс
fd54:a9c2:6d7b::/64	::	Домашняя сеть

 

self-test_KN-3810_draft_4.02.A.2.0-0_router_2024-03-31T13-05-38.427Z.txt

[Внедрение поддержки MOBIKE для IKEv2/IPsec-сервера]

@Le ecureuil

Протестировал на 4.2А2 - получается так: 

 

 

[MOBIKE IKEv2]

В 4.2 добавилась поддержка MOBIKE для IKEv2.

Протестировал 4.2А2: что со стандартным клиентом Самсунга, что с Стронгсваном - не работает.

На телефоне, при включенном VPN, переключался мобильный интернет. И, соответственно, при смене оператора интернет пропадал (блокировался VPNом).

Журналы приложил к сообщению.

log_Самсунг.txt log_Стронгсван.txt self-test_KN-3810_draft_4.02.A.2.0-0_router_2024-03-31T12-29-37.653Z.txt Клиент Стронгсван.log

[Настройка IKEv2/IPSec MSCHAPv2 на Android 12]

@Дима Федоров

Не имеет никакого смысла пытаться сидеть в домашенем Wi-Fi с IKEv2, подключаясь к этому роутеру. Вообще бессмысленно и невозможно.

Как выход - используйте на Самсунге "Режимы и сценарии". Они как раз поддерживают родной клиент IKEv2.

 

PS

Техподдержка сообщила, что MOBIKE планируется внедрить в 4.2. Будет кучеряво.

А пока необходимо использовать на сервере "Множественный вход".

[Настройка IKEv2/IPSec MSCHAPv2 на Android 12]

@Deadlock

Сервер настраивается так: https://help.keenetic.com/hc/ru/articles/360017022999-VPN-сервер-IKEv2

Клиент Самсунга: 

Можете альтернативный клиент настроить (если встроенный не нравится): https://help.keenetic.com/hc/ru/articles/8866287233180-Подключение-к-VPN-серверу-IKEv2-из-Android

 

[Внедрение поддержки MOBIKE для IKEv2/IPsec-сервера]

@Илья Хрупалов, да, может и присутствуют глюки в Самсунге, но на текущий момент Кинетик на запрос Самсунга о роуминге, по журналу, посылает его матом восвояси. По факту так же.

С тем же Стронгсваном, который рекомендует Кинетик, повторяется.

[Внедрение поддержки MOBIKE для IKEv2/IPsec-сервера]

@Илья Хрупалов, не проверял.

[Внедрение поддержки MOBIKE для IKEv2/IPsec-сервера]

7 часов назад, Илья Хрупалов сказал:

Я не очень понимаю. Можете поделиться ссылками, как, по-вашему, должна работать Alaways-on в самсунгах, как это проверить и что конкретно не работает сейчас при подключении к кинетику. Можно связаться в личке, чтобы вы показали это "в натуре".

Банально не работает при роуминге телефона в сетях: VPN пропадает навсегда.

В предыдущем моем сообщении ссылка имеется. Там логи и способ воспроизведения приведён.

[Внедрение поддержки MOBIKE для IKEv2/IPsec-сервера]

5 часов назад, Илья Хрупалов сказал:

На Android 14 c One UI 6.1 всё прекрасно работает, либо уточните, что не так. Строчка в логе ни к чему не обязывает. Если клиент не подключается, то MOBIKE там не при чем. Тем не менее, в ближайших версиях разработчики пообещали его включить для IKEv2-сервера/клиента. Если самсунговский клиент у вас подключается, то что не так с Always-on?

Сейчас роуминга нет. Выручает включение на сервере "Множественный вход". От этого сообщения и до конца темы описана ситуация: 

 

5 часов назад, Илья Хрупалов сказал:

Тем не менее, в ближайших версиях разработчики пообещали его включить для IKEv2-сервера/клиента.

Жду. Это с запуска 4.1?

[Настройка IKEv2/IPSec MSCHAPv2 на Android 12]

31 минуту назад, vasek00 сказал:

А на PPPoE то же будет косяк/костыль, когда пустит вторично после некого тайм аута.

Попробуйте другой вариант - на WG, на Keenetic2 поднимите сервер WG, на клиенте смартфоне так же WG. Далее попробовать п.1-4. На вскидку должно работать.

А почему вы такой вариант используете, а не соедините два роутера Keenetic1 и Keenetic2. Клиент у вас будет висеть на Keenetic1 - то на wifi то на 4G но с Keenetic1.

У меня есть сторонний vpn-клиент платный, в том числе поддерживает WG.

Почему хочу IKEv2? Только он реализован во встроенном клиенте Самсунга, а это значит есть нормальная поддержка в "Режимы и сценарии" Самсунга.

Почему не соединю роутеры? Да просто на работе не имею доступа к их сетевой инфраструктуре, да и смысла нет. И из-за сильных безопасников приходится использовать IKEv2 через свой домашний роутер.

[Настройка IKEv2/IPSec MSCHAPv2 на Android 12]

13 минуты назад, vasek00 сказал:

Проверил данную схему и ваши п.1-4 - нет проблем но при таймауте 3минуты, между п.3 и п.4., галки множественный доступ нет.

Вот и я говорю, что как минимум про "Always-on VPN" c IKEv2 на Кинетике можно забыть. Или костылить.

По моему мнению - это из-за не реализации Кинетиком стандарта MOBIKE. Хотя я и далек от ITишных дел.

Ранее создал соответствующую тему. Может и увидят ее разработчики:

 

 

[Настройка IKEv2/IPSec MSCHAPv2 на Android 12]

9 минут назад, vasek00 сказал:

Один вопрос это что такое если вы подключены к роутеру по wifi.

Это Самсунг - Wi-Fi - Кинетик1_(IP 94.29.*.* его провайдера, у роутера серый) - Интернет - Кинетик2_с_IKEv2-сервером.

Меняется на:

Самсунг - сотовая связь - Интернет - Кинетик2_с_IKEv2-сервером.

[Настройка IKEv2/IPSec MSCHAPv2 на Android 12]

Здесь видно, что при переходе с wi-fi на сотовую связь

11[IKE] 178.176.*.* is initiating an IKE_SA

получил отказ:

Фев 26 23:58:22 ipsec
14[IKE] canceling IKE_SA setup due to uniqueness policy

А дальше уже и соединение в Кинетике сбросилось:

Фев 27 00:00:29 ndm
IpSec::CryptoMapInfo: "VirtualIPServerIKE2": crypto map remote client "Lw*" @ "Lw*" from "94.29.*.*" disconnected.

Ни о каком режиме "Alway-on VPN" и говорить не приходиться.

[Настройка IKEv2/IPSec MSCHAPv2 на Android 12]

Фев 26 23:57:56 ndm
Core::Syslog: the system log has been cleared.
Фев 26 23:58:08 ipsec
12[IKE] 94.29.*.* is initiating an IKE_SA
Фев 26 23:58:08 ipsec
12[CFG] received proposals: IKE:AES_CBC=256/AES_CBC=128/HMAC_SHA2_512_256/HMAC_SHA2_384_192/HMAC_SHA2_256_128/HMAC_SHA1_96/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048_256/ECP_384/ECP_256/MODP_2048/MODP_1536, IKE:AES_GCM_16=256/AES_GCM_16=128/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048_256/ECP_384/ECP_256/MODP_2048/MODP_1536
Фев 26 23:58:08 ipsec
12[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256
Фев 26 23:58:08 ipsec
12[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Фев 26 23:58:08 ipsec
12[IKE] remote host is behind NAT
Фев 26 23:58:08 ipsec
12[IKE] DH group MODP_2048_256 unacceptable, requesting MODP_2048
Фев 26 23:58:08 ipsec
15[IKE] 94.29.*.* is initiating an IKE_SA
Фев 26 23:58:08 ipsec
15[CFG] received proposals: IKE:AES_CBC=256/AES_CBC=128/HMAC_SHA2_512_256/HMAC_SHA2_384_192/HMAC_SHA2_256_128/HMAC_SHA1_96/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048/MODP_2048_256/ECP_384/ECP_256/MODP_1536, IKE:AES_GCM_16=256/AES_GCM_16=128/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048/MODP_2048_256/ECP_384/ECP_256/MODP_1536
Фев 26 23:58:08 ipsec
15[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256
Фев 26 23:58:08 ipsec
15[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Фев 26 23:58:08 ipsec
15[IKE] remote host is behind NAT
Фев 26 23:58:08 ipsec
14[CFG] looking for peer configs matching 95.68.*.*[%any]...94.29.*.*[Lw*]
Фев 26 23:58:08 ipsec
14[CFG] selected peer config 'VirtualIPServerIKE2'
Фев 26 23:58:08 ipsec
14[IKE] initiating EAP_IDENTITY method (id 0x00)
Фев 26 23:58:08 ipsec
14[IKE] peer supports MOBIKE, but disabled in config
Фев 26 23:58:08 ipsec
14[IKE] authentication of '*.keenetic.name' (myself) with RSA_EMSA_PKCS1_SHA2_256 successful
Фев 26 23:58:08 ipsec
14[IKE] sending end entity cert "CN=*.keenetic.name"
Фев 26 23:58:08 ipsec
14[IKE] sending issuer cert "C=US, O=Let's Encrypt, CN=R3"
Фев 26 23:58:08 ipsec
05[IKE] received EAP identity 'Lw*'
Фев 26 23:58:08 ipsec
05[IKE] initiating EAP_MSCHAPV2 method (id 0xDA)
Фев 26 23:58:08 ipsec
06[IKE] EAP method EAP_MSCHAPV2 succeeded, MSK established
Фев 26 23:58:09 ipsec
09[IKE] authentication of 'Lw*' with EAP successful
Фев 26 23:58:09 ipsec
09[IKE] authentication of '*.keenetic.name' (myself) with EAP
Фев 26 23:58:09 ipsec
09[IKE] IKE_SA VirtualIPServerIKE2[76] established between 95.68.*.*[*.keenetic.name]...94.29.*.*[Lw*]
Фев 26 23:58:09 ipsec
09[IKE] peer requested virtual IP %any
Фев 26 23:58:09 ndm
Core::Server: started Session /var/run/ndm.core.socket.
Фев 26 23:58:09 ndm
IpSec::CryptoMapInfo: "VirtualIPServerIKE2": allocated address "172.20.*.*" for user "Lw*" @ "Lw*" from "94.29.*.*".
Фев 26 23:58:09 ndm
Core::Session: client disconnected.
Фев 26 23:58:09 ipsec
09[IKE] assigning virtual IP 172.20.*.* to peer 'Lw*'
Фев 26 23:58:09 ipsec
09[CFG] received proposals: ESP:AES_GCM_16=256/AES_GCM_16=128/NO_EXT_SEQ, ESP:AES_CBC=256/AES_CBC=128/HMAC_SHA2_512_256/HMAC_SHA2_384_192/HMAC_SHA2_256_128/HMAC_SHA1_96/NO_EXT_SEQ
Фев 26 23:58:09 ipsec
09[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA2_256_128/NO_EXT_SEQ
Фев 26 23:58:09 ipsec
09[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ
Фев 26 23:58:09 ipsec
09[IKE] CHILD_SA VirtualIPServerIKE2{33} established with SPIs c2dc31c0_i c7fda6b5_o and TS 0.0.0.0/0 === 172.20.*.*/32
Фев 26 23:58:09 ndm
IpSec::CryptoMapInfo: "VirtualIPServerIKE2": crypto map is up: remote client "Lw*" @ "Lw*" with IP "172.20.*.*" connected.
Фев 26 23:58:09 ipsec
09[CFG] scheduling RADIUS Interim-Updates every 5s
Фев 26 23:58:09 ndm
IpSec::Netfilter: start reloading netfilter configuration...
Фев 26 23:58:09 ndm
IpSec::Netfilter: netfilter configuration reloading is done.
Фев 26 23:58:21 ipsec
11[IKE] 178.176.*.* is initiating an IKE_SA
Фев 26 23:58:21 ipsec
11[CFG] received proposals: IKE:AES_CBC=256/AES_CBC=128/HMAC_SHA2_512_256/HMAC_SHA2_384_192/HMAC_SHA2_256_128/HMAC_SHA1_96/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048_256/ECP_384/ECP_256/MODP_2048/MODP_1536, IKE:AES_GCM_16=256/AES_GCM_16=128/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048_256/ECP_384/ECP_256/MODP_2048/MODP_1536
Фев 26 23:58:21 ipsec
11[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256
Фев 26 23:58:21 ipsec
11[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Фев 26 23:58:21 ipsec
11[IKE] remote host is behind NAT
Фев 26 23:58:21 ipsec
11[IKE] DH group MODP_2048_256 unacceptable, requesting MODP_2048
Фев 26 23:58:21 ipsec
09[IKE] 178.176.*.* is initiating an IKE_SA
Фев 26 23:58:21 ipsec
09[CFG] received proposals: IKE:AES_CBC=256/AES_CBC=128/HMAC_SHA2_512_256/HMAC_SHA2_384_192/HMAC_SHA2_256_128/HMAC_SHA1_96/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048/MODP_2048_256/ECP_384/ECP_256/MODP_1536, IKE:AES_GCM_16=256/AES_GCM_16=128/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048/MODP_2048_256/ECP_384/ECP_256/MODP_1536
Фев 26 23:58:21 ipsec
09[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256
Фев 26 23:58:21 ipsec
09[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Фев 26 23:58:21 ipsec
09[IKE] remote host is behind NAT
Фев 26 23:58:22 ipsec
10[CFG] looking for peer configs matching 95.68.*.*[%any]...178.176.*.*[Lw*]
Фев 26 23:58:22 ipsec
10[CFG] selected peer config 'VirtualIPServerIKE2'
Фев 26 23:58:22 ipsec
10[IKE] initiating EAP_IDENTITY method (id 0x00)
Фев 26 23:58:22 ipsec
10[IKE] peer supports MOBIKE, but disabled in config
Фев 26 23:58:22 ipsec
10[IKE] authentication of '*.keenetic.name' (myself) with RSA_EMSA_PKCS1_SHA2_256 successful
Фев 26 23:58:22 ipsec
10[IKE] sending end entity cert "CN=*.keenetic.name"
Фев 26 23:58:22 ipsec
10[IKE] sending issuer cert "C=US, O=Let's Encrypt, CN=R3"
Фев 26 23:58:22 ipsec
12[IKE] received EAP identity 'Lw*'
Фев 26 23:58:22 ipsec
12[IKE] initiating EAP_MSCHAPV2 method (id 0xEE)
Фев 26 23:58:22 ipsec
08[IKE] EAP method EAP_MSCHAPV2 succeeded, MSK established
Фев 26 23:58:22 ipsec
14[IKE] authentication of 'Lw*' with EAP successful
Фев 26 23:58:22 ipsec
14[IKE] authentication of '*.keenetic.name' (myself) with EAP
Фев 26 23:58:22 ipsec
14[IKE] canceling IKE_SA setup due to uniqueness policy
Фев 26 23:58:48 ipsec
11[IKE] retransmit 1 of request with message ID 0
Фев 26 23:58:56 ipsec
13[IKE] retransmit 2 of request with message ID 0
Фев 26 23:59:06 ipsec
11[IKE] retransmit 3 of request with message ID 0
Фев 26 23:59:17 ipsec
05[IKE] retransmit 4 of request with message ID 0
Фев 26 23:59:29 ipsec
04[IKE] retransmit 5 of request with message ID 0
Фев 26 23:59:41 ipsec
13[IKE] retransmit 6 of request with message ID 0
Фев 26 23:59:56 ipsec
14[IKE] retransmit 7 of request with message ID 0
Фев 27 00:00:11 ipsec
08[IKE] retransmit 8 of request with message ID 0
Фев 27 00:00:29 ipsec
10[IKE] giving up after 8 retransmits
Фев 27 00:00:29 ndm
IpSec::Configurator: "VirtualIPServerIKE2": remote peer is down.
Фев 27 00:00:29 ndm
IpSec::CryptoMapInfo: "VirtualIPServerIKE2": crypto map remote client "Lw*" @ "Lw*" from "94.29.*.*" disconnected.
Фев 27 00:00:29 ndm
IpSec::Netfilter: start reloading netfilter configuration...
Фев 27 00:00:29 ndm
IpSec::Netfilter: netfilter configuration reloading is done.

Это про то как не работает режим "Always-on VPN" встроенного клиента Самсунга при отключении Wi-Fi на телефоне с переходом на его сотовую связь.

[Внедрение поддержки MOBIKE для IKEv2/IPsec-сервера]

Тема родилась из-за того, что не работает нормально, к примеру, режим "Always-on VPN" на Самсунге. Плюс встроенный клиент IKEv2 Самсунга прекрасно работает в его "Режимы и сценарии". Это фишка Самсунга. Кто использует эти режимы - поймет.

Сразу скажу, сторонние клиенты VPN не реализованы в "Режимы и сценарии".

Т.ч., к примеру, с работы хотелось бы иметь полноценный доступ к IKEv2-серверу Кинетика дома.

[Настройка IKEv2/IPSec MSCHAPv2 на Android 12]

9 часов назад, vasek00 сказал:

После проведения 1-3 (не смотрел что там и как) далее по п.4 вопросов не возникло - все ОК.

Объясните/опишите смысл в п.2 при включенном wifi п.1. Скажу сразу еще раз Samsung -> в разработчике - Не отключать мобильный интернет стоит в ОТКЛ.

 

После последовательного выполнения вышеуказанных пунктов 1, 2, 3 сразу выполнить пункт 4 невозможно, т.к. в Кинетике, после пункта 3 остается висящее соединение. Костыль в виде "Множественный вход" решает проблему.

Как понял, это из-за того, что Кинетик не реализовал у себя базовый протокол IKEv2 - MOBIKE.

И соответственно режим "Always-on VPN" в туда же.

[Настройка IKEv2/IPSec MSCHAPv2 на Android 12]

6 минут назад, vasek00 сказал:

1. Смартфоном 4G подключился к роутеру без множественного доступа, в WEB роутера включил/выключил wifi, вошел в раздел VPN-сервер IKEv2/IPsec добавил (сохранил) потом удалил пользователя и опять сохранил - проблем не нашел.

2. Вошел этим же клиентом по wifi и на странице VPN-сервер IKEv2/IPsec добавил (сохранил) потом удалил пользователя и опять сохранил, далее выключил VPN-сервер IKEv2/IPsec и опять включил VPN-сервер IKEv2/IPsec, включал/выключал множественный доступ  - проблем не нашел. Далее подключился опять клиентом к роутеру через 4G IKEv2/IPsec, галки на множественном доступе нет.

Если у вас есть проблемы в настройках WEB (включается или не включается тот или иной ползунок или параметр) то описывайте последовательность действий при которых у вас что-то не так. При выполнение того или иного действия можно наблюдать в selftest файле записи действий перед 

Core::System::StartupConfig: configuration saved. 

 

1. Включите в телефоне Wi-Fi;

2. Включите в телефоне ikev2;

3. Выключите в телефоне Wi-Fi;

4. Попробуйте включить ikev2.

[Настройка IKEv2/IPSec MSCHAPv2 на Android 12]

12 часа назад, vasek00 сказал:

В сервере IKEv2 на Кинетике обязательно необходимо включить множественный доступ.

Не заметил, Samsung Android 14, на Keenetic есть пользователь UsVPN которому привязан IP - 172.18.2.41, галки множественный доступ нет, проблем с подключением и работой не замечено.

  Показать содержимое

...
Фев 25 21:49:03 ipsec 05[IKE] received EAP identity 'UsVPN'
Фев 25 21:49:03 ipsec 05[IKE] initiating EAP_MSCHAPV2 method (id 0xC1)
Фев 25 21:49:03 ipsec 10[IKE] EAP method EAP_MSCHAPV2 succeeded, MSK established 
...
Фев 25 21:49:03 ndm IpSec::CryptoMapInfo: "VirtualIPServerIKE2": allocated address "172.18.2.41" for user "UsVPN" @ "ikev2" from "213.ххх.ххх.ххх".
Фев 25 21:49:03 ipsec 03[IKE] assigning virtual IP 172.18.2.41 to peer 'UsVPN'
Фев 25 21:49:03 ipsec 03[CFG] received proposals: ESP:AES_GCM_16=256/AES_GCM_16=128/NO_EXT_SEQ, ESP:AES_CBC=256/AES_CBC=128/HMAC_SHA2_512_256/HMAC_SHA2_384_192/HMAC_SHA2_256_128/HMAC_SHA1_96/NO_EXT_SEQ
Фев 25 21:49:03 ipsec 03[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA2_256_128/NO_EXT_SEQ
Фев 25 21:49:03 ipsec 03[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ
Фев 25 21:49:03 ipsec 03[IKE] CHILD_SA VirtualIPServerIKE2{2} established with SPIs ca10f1fd_i c2c8bd0f_o and TS 0.0.0.0/0 === 172.18.2.41/32
Фев 25 21:49:03 ndm IpSec::CryptoMapInfo: "VirtualIPServerIKE2": crypto map is up: remote client "UsVPN" @ "ikev2" with IP "172.18.2.41" connected. 

 

Попробуйте без множественного доступа включить/выключить wi-fi (не выключая вручную ikev2) и при сотовой связи и при wi-fi включить ikev2.

[Добавить защиту VPN серверов по количеству логинов в минуту]

Может возникнуть ситуация когда вы же и будете заблокированы. Выход - использовать длинный и сложный пароль . Примерно оценить можно по картинке ниже, и в вашем случает все намного лучше, т.к. хеша нет у злоумышленника:

Другое дело, может ли перебор положить роутер.

[Внедрение поддержки MOBIKE для IKEv2/IPsec-сервера]

В данный момент при подключении стандартным клиентом телефона Самсунг или клиентом strongSwan к IKEv2/IPsec-серверу Кинетика выскакивает:

08[IKE] peer supports MOBIKE, but disabled in config

Как понял, поддержка MOBIKE в Кинетике отсутствует. Хотелось бы иметь её.

[Настройка IKEv2/IPSec MSCHAPv2 на Android 12]

На Самсунге удовлетворительно работает (со встроенным клиентом). Прописываем имя, адрес keendns (или внешний IP-адрес), имя пользователя и пароль.

В сервере IKEv2 на Кинетике обязательно необходимо включить множественный доступ.

Обнаружилось: Кинетик не поддерживает MOBIKE, что печально. Что со встроенным клиентом, что с другими.

[WPA2-PSK + WPA3+PSK]

Пробовал это.