Настройка IKEv2/IPSec MSCHAPv2 на Android 12

[kent-x]

В 22.11.2022 в 12:23, eturo сказал:

Так как все же настроить VPN на телефоне Samsung? Есть у кого то инструкция, кто уже смог?

У меня получилось следующим образом.

без keendns не заработало, только с его использованием, (нахрена он мне нужен когда у меня статика кинетик не волнует)

получаем у keendns адрес.

в телефоне выбираем ikev2/ipsec mschapv2

адрес сервера от keendns

идентификатор IPSec: указываем из настроек, он один для всех соединений

имя пользователя 

Пароль

 

После чего всё завелось без сторонних программ

 

[Artem Polozov]

В 10.01.2023 в 17:48, kent-x сказал:

У меня получилось следующим образом.

без keendns не заработало, только с его использованием, (нахрена он мне нужен когда у меня статика кинетик не волнует)

получаем у keendns адрес.

в телефоне выбираем ikev2/ipsec mschapv2

адрес сервера от keendns

идентификатор IPSec: указываем из настроек, он один для всех соединений

имя пользователя 

Пароль

 

После чего всё завелось без сторонних программ

 

Даже не активна кнопка сохранить

 

[kent-x]

В 18.01.2023 в 14:40, Artem Polozov сказал:

Даже не активна кнопка сохранить

 

Добрый день.

Всё тоже самое но галка сохранения активна.

 

[krass]

Попробовать strongswan не хотите?
https://play.google.com/store/apps/details?id=org.strongswan.android
 

В различных смартфонах бывает что реализовано абы как....

[PASPARTU]

6 минут назад, kent-x сказал:

Добрый день.

Всё тоже самое но галка сохранения активна.

 

а вот на против "сертификат сервера IPsec" какие варианты есть?

[kent-x]

6 минут назад, PASPARTU сказал:

а вот на против "сертификат сервера IPsec" какие варианты есть?

(получено с сервера)

RSA_KEY

[tetiz]

В 02.04.2022 в 13:07, Кинетиковод сказал:

У меня ikev2 работает через strongswan.

Подскажи плз, где бесплатные сервера для strongswan? много перепробовал, не подключается к впн, только с платного смог подключиться

[Артем Чалдаев]

В 10.01.2023 в 17:48, kent-x сказал:

У меня получилось следующим образом.

без keendns не заработало, только с его использованием, (нахрена он мне нужен когда у меня статика кинетик не волнует)

получаем у keendns адрес.

в телефоне выбираем ikev2/ipsec mschapv2

адрес сервера от keendns

идентификатор IPSec: указываем из настроек, он один для всех соединений

имя пользователя 

Пароль

 

После чего всё завелось без сторонних программ

 

Можно подробнее, откуда из настроек брать идентификатор ipsec?

Плюс адрес сервера keendns не резолвится провайдером, как у вас заработало?

[Артем Чалдаев]

Нашел решение проблемы как для андроида 12, так и для strongswan

strongSwan: все работает по инструкции с официальной вики, только не уточняют, что настроив keenDns, адрес сервера надо вписывать без https:// (yourkeenname.keenetic.pro или как у вас будет), далее просто вбиваем данные и все работает

Андроид: создаем профиль VPN IKEv2/IPSec MSCHAPv2, адрес как написал выше (keenDNS), идентификатор вписал VirtualIPServerIKE2 (походу это название профиля в конфигурации роутера, для версии Viva 1912 сработало), сертификаты на автомат, потом логин с паролем.

[fobas]

Получилось ли решить проблему с неактивной кнопкой сохранить на андройд ? Проблема на samse s23 ultra кнопка не активна пока не выберешь сертификат , на рядом лежащих s 21 fe и s 22 ultra все заработала без сертификата и все ок , стронгсван все хорошо.  Но хотелось бы без него . Пробовал менять регион все равно одно и тоже то есть от региона это не зависит 

[fobas]

22 минуты назад, ANDYBOND сказал:

Спросите на форумах по телефонам. Здесь - о Кинетиках.

Ну вообще выше поднимается эта проблема , если вам станет легче то впн создано на кинетике .

Плюс прочтите название темы 

Edited June 15, 2023 by fobas

[vt83c572]

  IKEv2/IPsec  только через облако. 

 

Edited February 15 by vt83c572

[r13]

9 часов назад, vt83c572 сказал:

Вопрос  как  заставить  android  14  IKEv2/IPsec работать  на прямую  с белым  ip.  Не используя  сервис KeenDNS  облако.  Какие  команды , не хочется  коробку  продавать,   а тут на тебе  только через облако. 

 

Если использовать strongswan, а не встроенный клиент, то в нем можно отдельно прописать server address и server indentity. В первое пишем ip адрес во второе keendns name. Без имени совсем не получится, оно используется для валидации сервера клиентом.

[Петька и Василий Иванович]

На Самсунге удовлетворительно работает (со встроенным клиентом). Прописываем имя, адрес keendns (или внешний IP-адрес), имя пользователя и пароль.

В сервере IKEv2 на Кинетике обязательно необходимо включить множественный доступ.

Обнаружилось: Кинетик не поддерживает MOBIKE, что печально. Что со встроенным клиентом, что с другими.

Edited February 25 by Петька и Василий Иванович

[vasek00]

6 часов назад, Петька и Василий Иванович сказал:

На Самсунге удовлетворительно работает (со встроенным клиентом). Прописываем имя, адрес keendns (или внешний IP-адрес), имя пользователя и пароль.

В сервере IKEv2 на Кинетике обязательно необходимо включить множественный доступ.

В сервере IKEv2 на Кинетике обязательно необходимо включить множественный доступ.

Не заметил, Samsung Android 14, на Keenetic есть пользователь UsVPN которому привязан IP - 172.18.2.41, галки множественный доступ нет, проблем с подключением и работой не замечено.

Скрытый текст

...
Фев 25 21:49:03 ipsec 05[IKE] received EAP identity 'UsVPN'
Фев 25 21:49:03 ipsec 05[IKE] initiating EAP_MSCHAPV2 method (id 0xC1)
Фев 25 21:49:03 ipsec 10[IKE] EAP method EAP_MSCHAPV2 succeeded, MSK established 
...
Фев 25 21:49:03 ndm IpSec::CryptoMapInfo: "VirtualIPServerIKE2": allocated address "172.18.2.41" for user "UsVPN" @ "ikev2" from "213.ххх.ххх.ххх".
Фев 25 21:49:03 ipsec 03[IKE] assigning virtual IP 172.18.2.41 to peer 'UsVPN'
Фев 25 21:49:03 ipsec 03[CFG] received proposals: ESP:AES_GCM_16=256/AES_GCM_16=128/NO_EXT_SEQ, ESP:AES_CBC=256/AES_CBC=128/HMAC_SHA2_512_256/HMAC_SHA2_384_192/HMAC_SHA2_256_128/HMAC_SHA1_96/NO_EXT_SEQ
Фев 25 21:49:03 ipsec 03[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA2_256_128/NO_EXT_SEQ
Фев 25 21:49:03 ipsec 03[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ
Фев 25 21:49:03 ipsec 03[IKE] CHILD_SA VirtualIPServerIKE2{2} established with SPIs ca10f1fd_i c2c8bd0f_o and TS 0.0.0.0/0 === 172.18.2.41/32
Фев 25 21:49:03 ndm IpSec::CryptoMapInfo: "VirtualIPServerIKE2": crypto map is up: remote client "UsVPN" @ "ikev2" with IP "172.18.2.41" connected. 

 

[Петька и Василий Иванович]

12 часа назад, vasek00 сказал:

В сервере IKEv2 на Кинетике обязательно необходимо включить множественный доступ.

Не заметил, Samsung Android 14, на Keenetic есть пользователь UsVPN которому привязан IP - 172.18.2.41, галки множественный доступ нет, проблем с подключением и работой не замечено.

  Показать содержимое

...
Фев 25 21:49:03 ipsec 05[IKE] received EAP identity 'UsVPN'
Фев 25 21:49:03 ipsec 05[IKE] initiating EAP_MSCHAPV2 method (id 0xC1)
Фев 25 21:49:03 ipsec 10[IKE] EAP method EAP_MSCHAPV2 succeeded, MSK established 
...
Фев 25 21:49:03 ndm IpSec::CryptoMapInfo: "VirtualIPServerIKE2": allocated address "172.18.2.41" for user "UsVPN" @ "ikev2" from "213.ххх.ххх.ххх".
Фев 25 21:49:03 ipsec 03[IKE] assigning virtual IP 172.18.2.41 to peer 'UsVPN'
Фев 25 21:49:03 ipsec 03[CFG] received proposals: ESP:AES_GCM_16=256/AES_GCM_16=128/NO_EXT_SEQ, ESP:AES_CBC=256/AES_CBC=128/HMAC_SHA2_512_256/HMAC_SHA2_384_192/HMAC_SHA2_256_128/HMAC_SHA1_96/NO_EXT_SEQ
Фев 25 21:49:03 ipsec 03[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA2_256_128/NO_EXT_SEQ
Фев 25 21:49:03 ipsec 03[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ
Фев 25 21:49:03 ipsec 03[IKE] CHILD_SA VirtualIPServerIKE2{2} established with SPIs ca10f1fd_i c2c8bd0f_o and TS 0.0.0.0/0 === 172.18.2.41/32
Фев 25 21:49:03 ndm IpSec::CryptoMapInfo: "VirtualIPServerIKE2": crypto map is up: remote client "UsVPN" @ "ikev2" with IP "172.18.2.41" connected. 

 

Попробуйте без множественного доступа включить/выключить wi-fi (не выключая вручную ikev2) и при сотовой связи и при wi-fi включить ikev2.

[vasek00]

22 минуты назад, Петька и Василий Иванович сказал:

Попробуйте без множественного доступа включить/выключить wi-fi (не выключая вручную ikev2) и при сотовой связи и при wi-fi включить ikev2.

1. Смартфоном 4G подключился к роутеру без множественного доступа, в WEB роутера включил/выключил wifi, вошел в раздел VPN-сервер IKEv2/IPsec добавил (сохранил) потом удалил пользователя и опять сохранил - проблем не нашел.

2. Вошел этим же клиентом по wifi и на странице VPN-сервер IKEv2/IPsec добавил (сохранил) потом удалил пользователя и опять сохранил, далее выключил VPN-сервер IKEv2/IPsec и опять включил VPN-сервер IKEv2/IPsec, включал/выключал множественный доступ  - проблем не нашел. Далее подключился опять клиентом к роутеру через 4G IKEv2/IPsec, галки на множественном доступе нет.

Если у вас есть проблемы в настройках WEB (включается или не включается тот или иной ползунок или параметр) то описывайте последовательность действий при которых у вас что-то не так. При выполнение того или иного действия можно наблюдать в selftest файле записи действий перед 

Core::System::StartupConfig: configuration saved. 

 

Edited February 26 by vasek00

[Петька и Василий Иванович]

6 минут назад, vasek00 сказал:

1. Смартфоном 4G подключился к роутеру без множественного доступа, в WEB роутера включил/выключил wifi, вошел в раздел VPN-сервер IKEv2/IPsec добавил (сохранил) потом удалил пользователя и опять сохранил - проблем не нашел.

2. Вошел этим же клиентом по wifi и на странице VPN-сервер IKEv2/IPsec добавил (сохранил) потом удалил пользователя и опять сохранил, далее выключил VPN-сервер IKEv2/IPsec и опять включил VPN-сервер IKEv2/IPsec, включал/выключал множественный доступ  - проблем не нашел. Далее подключился опять клиентом к роутеру через 4G IKEv2/IPsec, галки на множественном доступе нет.

Если у вас есть проблемы в настройках WEB (включается или не включается тот или иной ползунок или параметр) то описывайте последовательность действий при которых у вас что-то не так. При выполнение того или иного действия можно наблюдать в selftest файле записи действий перед 

Core::System::StartupConfig: configuration saved. 

 

1. Включите в телефоне Wi-Fi;

2. Включите в телефоне ikev2;

3. Выключите в телефоне Wi-Fi;

4. Попробуйте включить ikev2.

[vasek00]

1 час назад, Петька и Василий Иванович сказал:

1. Включите в телефоне Wi-Fi;

2. Включите в телефоне ikev2;

3. Выключите в телефоне Wi-Fi;

4. Попробуйте включить ikev2.

После проведения 1-3 (не смотрел что там и как) далее по п.4 вопросов не возникло - все ОК.

Объясните/опишите смысл в п.2 при включенном wifi п.1. Скажу сразу еще раз Samsung -> в разработчике - Не отключать мобильный интернет стоит в ОТКЛ.

 

[Петька и Василий Иванович]

9 часов назад, vasek00 сказал:

После проведения 1-3 (не смотрел что там и как) далее по п.4 вопросов не возникло - все ОК.

Объясните/опишите смысл в п.2 при включенном wifi п.1. Скажу сразу еще раз Samsung -> в разработчике - Не отключать мобильный интернет стоит в ОТКЛ.

 

После последовательного выполнения вышеуказанных пунктов 1, 2, 3 сразу выполнить пункт 4 невозможно, т.к. в Кинетике, после пункта 3 остается висящее соединение. Костыль в виде "Множественный вход" решает проблему.

Как понял, это из-за того, что Кинетик не реализовал у себя базовый протокол IKEv2 - MOBIKE.

И соответственно режим "Always-on VPN" в туда же.

Edited February 26 by Петька и Василий Иванович

[vasek00]

1 час назад, Петька и Василий Иванович сказал:

После последовательного выполнения вышеуказанных пунктов 1, 2, 3 сразу выполнить пункт 4 невозможно, т.к. в Кинетике, после пункта 3 остается висящее соединение. Костыль в виде "Множественный вход" решает проблему.

Как понял, это из-за того, что Кинетик не реализовал у себя базовый протокол IKEv2 - MOBIKE.

Галки на множественном доступе нет. Видимо у вас невозможно, пробовал два раза, теперь опишу чуток, в итоге на п.4 вопросов нет.

1. Смартфон подклен по wifi к роутеру 192.168.130.6

2. Включите в телефоне ikev2 - а в ответ тишина, так и весим на wifi, на IKEv2 проблема

Скрытый текст

Фев 26 22:40:01 ipsec 14[IKE] 192.168.130.6 is initiating an IKE_SA
...
Фев 26 22:40:01 ipsec 14[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Фев 26 22:40:01 ipsec 14[IKE] remote host is behind NAT
Фев 26 22:40:01 ipsec 14[IKE] DH group MODP_2048_256 unacceptable, requesting MODP_2048

 

3. Отключаю wifi на нем.

4. Включаю на телефоне ikev2 - все Ок.

Если надо могу и тут лог приложить п.4. Мало того могу сказать, что если на п.2 в момент попыток подключения отключить wifi то wifi пропадает и также IKEv2 уходит в отключено. Так что к п.4 смартфон готов к подключению потому что wifi выключен.Это к вопросу 

т.к. в Кинетике, после пункта 3 остается висящее соединение

нет ни какого висящего соединения после п.3 - ни wifi ни IKEv2.

[Петька и Василий Иванович]

Фев 26 23:57:56 ndm
Core::Syslog: the system log has been cleared.
Фев 26 23:58:08 ipsec
12[IKE] 94.29.*.* is initiating an IKE_SA
Фев 26 23:58:08 ipsec
12[CFG] received proposals: IKE:AES_CBC=256/AES_CBC=128/HMAC_SHA2_512_256/HMAC_SHA2_384_192/HMAC_SHA2_256_128/HMAC_SHA1_96/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048_256/ECP_384/ECP_256/MODP_2048/MODP_1536, IKE:AES_GCM_16=256/AES_GCM_16=128/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048_256/ECP_384/ECP_256/MODP_2048/MODP_1536
Фев 26 23:58:08 ipsec
12[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256
Фев 26 23:58:08 ipsec
12[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Фев 26 23:58:08 ipsec
12[IKE] remote host is behind NAT
Фев 26 23:58:08 ipsec
12[IKE] DH group MODP_2048_256 unacceptable, requesting MODP_2048
Фев 26 23:58:08 ipsec
15[IKE] 94.29.*.* is initiating an IKE_SA
Фев 26 23:58:08 ipsec
15[CFG] received proposals: IKE:AES_CBC=256/AES_CBC=128/HMAC_SHA2_512_256/HMAC_SHA2_384_192/HMAC_SHA2_256_128/HMAC_SHA1_96/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048/MODP_2048_256/ECP_384/ECP_256/MODP_1536, IKE:AES_GCM_16=256/AES_GCM_16=128/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048/MODP_2048_256/ECP_384/ECP_256/MODP_1536
Фев 26 23:58:08 ipsec
15[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256
Фев 26 23:58:08 ipsec
15[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Фев 26 23:58:08 ipsec
15[IKE] remote host is behind NAT
Фев 26 23:58:08 ipsec
14[CFG] looking for peer configs matching 95.68.*.*[%any]...94.29.*.*[Lw*]
Фев 26 23:58:08 ipsec
14[CFG] selected peer config 'VirtualIPServerIKE2'
Фев 26 23:58:08 ipsec
14[IKE] initiating EAP_IDENTITY method (id 0x00)
Фев 26 23:58:08 ipsec
14[IKE] peer supports MOBIKE, but disabled in config
Фев 26 23:58:08 ipsec
14[IKE] authentication of '*.keenetic.name' (myself) with RSA_EMSA_PKCS1_SHA2_256 successful
Фев 26 23:58:08 ipsec
14[IKE] sending end entity cert "CN=*.keenetic.name"
Фев 26 23:58:08 ipsec
14[IKE] sending issuer cert "C=US, O=Let's Encrypt, CN=R3"
Фев 26 23:58:08 ipsec
05[IKE] received EAP identity 'Lw*'
Фев 26 23:58:08 ipsec
05[IKE] initiating EAP_MSCHAPV2 method (id 0xDA)
Фев 26 23:58:08 ipsec
06[IKE] EAP method EAP_MSCHAPV2 succeeded, MSK established
Фев 26 23:58:09 ipsec
09[IKE] authentication of 'Lw*' with EAP successful
Фев 26 23:58:09 ipsec
09[IKE] authentication of '*.keenetic.name' (myself) with EAP
Фев 26 23:58:09 ipsec
09[IKE] IKE_SA VirtualIPServerIKE2[76] established between 95.68.*.*[*.keenetic.name]...94.29.*.*[Lw*]
Фев 26 23:58:09 ipsec
09[IKE] peer requested virtual IP %any
Фев 26 23:58:09 ndm
Core::Server: started Session /var/run/ndm.core.socket.
Фев 26 23:58:09 ndm
IpSec::CryptoMapInfo: "VirtualIPServerIKE2": allocated address "172.20.*.*" for user "Lw*" @ "Lw*" from "94.29.*.*".
Фев 26 23:58:09 ndm
Core::Session: client disconnected.
Фев 26 23:58:09 ipsec
09[IKE] assigning virtual IP 172.20.*.* to peer 'Lw*'
Фев 26 23:58:09 ipsec
09[CFG] received proposals: ESP:AES_GCM_16=256/AES_GCM_16=128/NO_EXT_SEQ, ESP:AES_CBC=256/AES_CBC=128/HMAC_SHA2_512_256/HMAC_SHA2_384_192/HMAC_SHA2_256_128/HMAC_SHA1_96/NO_EXT_SEQ
Фев 26 23:58:09 ipsec
09[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA2_256_128/NO_EXT_SEQ
Фев 26 23:58:09 ipsec
09[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ
Фев 26 23:58:09 ipsec
09[IKE] CHILD_SA VirtualIPServerIKE2{33} established with SPIs c2dc31c0_i c7fda6b5_o and TS 0.0.0.0/0 === 172.20.*.*/32
Фев 26 23:58:09 ndm
IpSec::CryptoMapInfo: "VirtualIPServerIKE2": crypto map is up: remote client "Lw*" @ "Lw*" with IP "172.20.*.*" connected.
Фев 26 23:58:09 ipsec
09[CFG] scheduling RADIUS Interim-Updates every 5s
Фев 26 23:58:09 ndm
IpSec::Netfilter: start reloading netfilter configuration...
Фев 26 23:58:09 ndm
IpSec::Netfilter: netfilter configuration reloading is done.
Фев 26 23:58:21 ipsec
11[IKE] 178.176.*.* is initiating an IKE_SA
Фев 26 23:58:21 ipsec
11[CFG] received proposals: IKE:AES_CBC=256/AES_CBC=128/HMAC_SHA2_512_256/HMAC_SHA2_384_192/HMAC_SHA2_256_128/HMAC_SHA1_96/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048_256/ECP_384/ECP_256/MODP_2048/MODP_1536, IKE:AES_GCM_16=256/AES_GCM_16=128/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048_256/ECP_384/ECP_256/MODP_2048/MODP_1536
Фев 26 23:58:21 ipsec
11[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256
Фев 26 23:58:21 ipsec
11[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Фев 26 23:58:21 ipsec
11[IKE] remote host is behind NAT
Фев 26 23:58:21 ipsec
11[IKE] DH group MODP_2048_256 unacceptable, requesting MODP_2048
Фев 26 23:58:21 ipsec
09[IKE] 178.176.*.* is initiating an IKE_SA
Фев 26 23:58:21 ipsec
09[CFG] received proposals: IKE:AES_CBC=256/AES_CBC=128/HMAC_SHA2_512_256/HMAC_SHA2_384_192/HMAC_SHA2_256_128/HMAC_SHA1_96/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048/MODP_2048_256/ECP_384/ECP_256/MODP_1536, IKE:AES_GCM_16=256/AES_GCM_16=128/PRF_HMAC_SHA2_512/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_256/PRF_HMAC_SHA1/MODP_2048/MODP_2048_256/ECP_384/ECP_256/MODP_1536
Фев 26 23:58:21 ipsec
09[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256
Фев 26 23:58:21 ipsec
09[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Фев 26 23:58:21 ipsec
09[IKE] remote host is behind NAT
Фев 26 23:58:22 ipsec
10[CFG] looking for peer configs matching 95.68.*.*[%any]...178.176.*.*[Lw*]
Фев 26 23:58:22 ipsec
10[CFG] selected peer config 'VirtualIPServerIKE2'
Фев 26 23:58:22 ipsec
10[IKE] initiating EAP_IDENTITY method (id 0x00)
Фев 26 23:58:22 ipsec
10[IKE] peer supports MOBIKE, but disabled in config
Фев 26 23:58:22 ipsec
10[IKE] authentication of '*.keenetic.name' (myself) with RSA_EMSA_PKCS1_SHA2_256 successful
Фев 26 23:58:22 ipsec
10[IKE] sending end entity cert "CN=*.keenetic.name"
Фев 26 23:58:22 ipsec
10[IKE] sending issuer cert "C=US, O=Let's Encrypt, CN=R3"
Фев 26 23:58:22 ipsec
12[IKE] received EAP identity 'Lw*'
Фев 26 23:58:22 ipsec
12[IKE] initiating EAP_MSCHAPV2 method (id 0xEE)
Фев 26 23:58:22 ipsec
08[IKE] EAP method EAP_MSCHAPV2 succeeded, MSK established
Фев 26 23:58:22 ipsec
14[IKE] authentication of 'Lw*' with EAP successful
Фев 26 23:58:22 ipsec
14[IKE] authentication of '*.keenetic.name' (myself) with EAP
Фев 26 23:58:22 ipsec
14[IKE] canceling IKE_SA setup due to uniqueness policy
Фев 26 23:58:48 ipsec
11[IKE] retransmit 1 of request with message ID 0
Фев 26 23:58:56 ipsec
13[IKE] retransmit 2 of request with message ID 0
Фев 26 23:59:06 ipsec
11[IKE] retransmit 3 of request with message ID 0
Фев 26 23:59:17 ipsec
05[IKE] retransmit 4 of request with message ID 0
Фев 26 23:59:29 ipsec
04[IKE] retransmit 5 of request with message ID 0
Фев 26 23:59:41 ipsec
13[IKE] retransmit 6 of request with message ID 0
Фев 26 23:59:56 ipsec
14[IKE] retransmit 7 of request with message ID 0
Фев 27 00:00:11 ipsec
08[IKE] retransmit 8 of request with message ID 0
Фев 27 00:00:29 ipsec
10[IKE] giving up after 8 retransmits
Фев 27 00:00:29 ndm
IpSec::Configurator: "VirtualIPServerIKE2": remote peer is down.
Фев 27 00:00:29 ndm
IpSec::CryptoMapInfo: "VirtualIPServerIKE2": crypto map remote client "Lw*" @ "Lw*" from "94.29.*.*" disconnected.
Фев 27 00:00:29 ndm
IpSec::Netfilter: start reloading netfilter configuration...
Фев 27 00:00:29 ndm
IpSec::Netfilter: netfilter configuration reloading is done.

Это про то как не работает режим "Always-on VPN" встроенного клиента Самсунга при отключении Wi-Fi на телефоне с переходом на его сотовую связь.

Edited February 26 by Петька и Василий Иванович

[Петька и Василий Иванович]

Здесь видно, что при переходе с wi-fi на сотовую связь

11[IKE] 178.176.*.* is initiating an IKE_SA

получил отказ:

Фев 26 23:58:22 ipsec
14[IKE] canceling IKE_SA setup due to uniqueness policy

А дальше уже и соединение в Кинетике сбросилось:

Фев 27 00:00:29 ndm
IpSec::CryptoMapInfo: "VirtualIPServerIKE2": crypto map remote client "Lw*" @ "Lw*" from "94.29.*.*" disconnected.

Ни о каком режиме "Alway-on VPN" и говорить не приходиться.

[vasek00]

14 минуты назад, Петька и Василий Иванович сказал:

12[IKE] 94.29.*.* is initiating an IKE_SA

Один вопрос это что такое если вы подключены к роутеру по wifi. О каком переходе идет речь при пункте п.1. Если wifi отключен то имеем клиента ip от мобильного.

Edited February 26 by vasek00

[Петька и Василий Иванович]

9 минут назад, vasek00 сказал:

Один вопрос это что такое если вы подключены к роутеру по wifi.

Это Самсунг - Wi-Fi - Кинетик1_(IP 94.29.*.* его провайдера, у роутера серый) - Интернет - Кинетик2_с_IKEv2-сервером.

Меняется на:

Самсунг - сотовая связь - Интернет - Кинетик2_с_IKEv2-сервером.

Edited February 26 by Петька и Василий Иванович

[vasek00]

5 минут назад, Петька и Василий Иванович сказал:

Это Самсунг - Wi-Fi - Кинетик1_(IP 94.29.*.* его провайдера, у роутера серый) - Интернет - Кинетик2_с_IKEv2-сервером.

Меняется на:

Самсунг - сотовая связь - Интернет - Кинетик2_с_IKEv2-сервером.

Клиент смартфон при подключении к Keenetic получает ip из сегмента, т.е. 192.168.1.х или в моем случает 192.168.130.6. 

В моем все ваши проверки на одном роутере

Самсунг - wifi - Keenetic

Самсунг - 4G - Keenetic

Соберу ваш вариант, проверю.

 

 

[vasek00]

34 минуты назад, Петька и Василий Иванович сказал:

Это Самсунг - Wi-Fi - Кинетик1_(IP 94.29.*.* его провайдера, у роутера серый) - Интернет - Кинетик2_с_IKEv2-сервером.

Проверил данную схему и ваши п.1-4 - нет проблем но при таймауте 3минуты, между п.3 и п.4., галки множественный доступ нет.

[Петька и Василий Иванович]

13 минуты назад, vasek00 сказал:

Проверил данную схему и ваши п.1-4 - нет проблем но при таймауте 3минуты, между п.3 и п.4., галки множественный доступ нет.

Вот и я говорю, что как минимум про "Always-on VPN" c IKEv2 на Кинетике можно забыть. Или костылить.

По моему мнению - это из-за не реализации Кинетиком стандарта MOBIKE. Хотя я и далек от ITишных дел.

Ранее создал соответствующую тему. Может и увидят ее разработчики:

 

 

Edited February 26 by Петька и Василий Иванович

[vasek00]

8 часов назад, Петька и Василий Иванович сказал:

Вот и я говорю, что как минимум про "Always-on VPN" c IKEv2 на Кинетике можно забыть. Или костылить.

 

А на PPPoE то же будет косяк/костыль, когда пустит вторично после некого тайм аута.

Попробуйте другой вариант - на WG, на Keenetic2 поднимите сервер WG, на клиенте смартфоне так же WG. Далее попробовать п.1-4. На вскидку должно работать.

А почему вы такой вариант используете, а не соедините два роутера Keenetic1 и Keenetic2. Клиент у вас будет висеть на Keenetic1 - то на wifi то на 4G но с Keenetic1.

[Петька и Василий Иванович]

31 минуту назад, vasek00 сказал:

А на PPPoE то же будет косяк/костыль, когда пустит вторично после некого тайм аута.

Попробуйте другой вариант - на WG, на Keenetic2 поднимите сервер WG, на клиенте смартфоне так же WG. Далее попробовать п.1-4. На вскидку должно работать.

А почему вы такой вариант используете, а не соедините два роутера Keenetic1 и Keenetic2. Клиент у вас будет висеть на Keenetic1 - то на wifi то на 4G но с Keenetic1.

У меня есть сторонний vpn-клиент платный, в том числе поддерживает WG.

Почему хочу IKEv2? Только он реализован во встроенном клиенте Самсунга, а это значит есть нормальная поддержка в "Режимы и сценарии" Самсунга.

Почему не соединю роутеры? Да просто на работе не имею доступа к их сетевой инфраструктуре, да и смысла нет. И из-за сильных безопасников приходится использовать IKEv2 через свой домашний роутер.