Перестал подключаться к VPN-серверу IKEv2 StrongSwan

[nuzhinm]

У меня клиент IKEv2 на keenetic hopper перестал подключаться к серверу StrongSwan IKEv2. Я предполагаю что после обновления ос роутера до версии 3.8.5
Другие клиенты (android, windows, ios) продолжают работать без проблем. Конфигурацию сервера не менял, конфигурацию клиента тоже.
Помогите разобраться в чем причина.

 

 

Edited September 16, 2022 by nuzhinm

[nuzhinm]

Помогает сброс настроек и создание соединения заново. Если восстановить настройки, то перестает работать даже если удалить и создать подключение заново.

[nuzhinm]

После сброса соединение проработало меньше суток и снова перестало устанавливаться.
Получается что в роутере накапливается какая-то информация которая в дальнейшем мешает установить соединение?

Поддержка настаивает чтобы я подгрузил в кинетик сертификат CA, но у меня нет сертификатов.

Сервер развернут с помощью скрипта jawj IKEv2. Он идентифицирует себя с помощью сертификата Let's Encrypt, поэтому клиентам не нужно устанавливать частные сертификаты — они могут просто аутентифицироваться с помощью имени пользователя и надежного пароля (EAP-MSCHAPv2)

И ведь все замечательно работало с апреля, а сейчас начались проблемы.

Помогайте разобраться, я в тупик зашёл. 

Во вложении лог с keenetic

log.txt

[Goga777]

СА сертификат по идее ваш скрипт должен скачать или сгенерировать

[nuzhinm]

При выполнении скрипта который разворачивает сервер strongSwan я вводил доменное имя сервера это нужно Let's Encrypt для создания SSL сертификата сервера.
И в логах, насколько я смог разобраться, видно что роутер его получает от сервера.
Я сомневаюсь что здесь дело в сертификате. Полгода роутер стабильно держал связь с сервером, а сейчас пересал. Другие клиенты на android, windows, ios продолжают стабильно работать.

[I] Sep 17 21:24:42 ipsec: 12[IKE] received end entity cert "CN=**.**.**.**.sslip.io" 
[I] Sep 17 21:24:42 ipsec: 12[CFG]   using certificate "CN=**.**.**.**.sslip.io" 
[I] Sep 17 21:24:42 ipsec: 12[CFG]   using trusted intermediate ca certificate "C=US, O=Let's Encrypt, CN=R3" 
[I] Sep 17 21:24:42 ipsec: 12[CFG] system time out of sync, skipping certificate lifetime check 
[I] Sep 17 21:24:42 ipsec: 12[CFG]   using trusted intermediate ca certificate "C=US, O=Internet Security Research Group, CN=ISRG Root X1" 
[I] Sep 17 21:24:42 ipsec: 12[CFG] system time out of sync, skipping certificate lifetime check 
[I] Sep 17 21:24:42 ipsec: 12[CFG] system time out of sync, skipping certificate lifetime check 
[I] Sep 17 21:24:42 ipsec: 12[CFG] no issuer certificate found for "C=US, O=Internet Security Research Group, CN=ISRG Root X1" 
[I] Sep 17 21:24:42 ipsec: 12[CFG]   issuer is "O=Digital Signature Trust Co., CN=DST Root CA X3" 
[I] Sep 17 21:24:42 ipsec: 09[CFG] rereading ca certificates from '/tmp/ipsec/ipsec.d/cacerts' 
[I] Sep 17 21:24:42 ipsec: 12[IKE] no trusted RSA public key found for '**.**.**.**.sslip.io' 
[E] Sep 17 21:24:42 ndm: IpSec::Configurator: unable to authenticate remote peer for crypto map "IKE0". 

Если я все правильно понимаю, то по логу видно, что клиент не доверяет полученному от сервера сертификату. Почему это вдруг начинает  происходить через некоторое время работы туннеля и как это исправить я не понимаю.

Вот статья как настроить VPN-сервер IKEv2 на Keenetic, вот статья как настроить VPN-клиента IKEv2 на Keenetic. При этом клиент доверяет серверу потому что для его домена keenetic.pro выпущен ssl сертификат, а сервер не требует от клиента никаких сертификатов.
Моя связка сервер-клиент работает также.

 

[Goga777]

Не хотите обновиться на 3.9 альфа9, у меня там ikev2 работает на гига 3 без са сертификата, с ним не работает.

[nuzhinm]

Как вариант, буду пробовать. Но сначала попытаюсь разобраться в чем проблема.

[nuzhinm]

Скачал сертификаты CA и самого сервера, добавлял по очереди в настройках соединения. Соединение не заработало.

2 часа назад, Goga777 сказал:

обновиться на 3.9 альфа9

Обновился, соединение установилось без подгрузки сертификатов. Буду наблюдать как оно будет работать.

[Goga777]

я читал что на каких-то версиях были проблемы с ikev2 - может и на 3.8.5 

а с CA сертификатом на альфе есть коннект ? 

[nuzhinm]

Не проверял, соединение устанавливалось без подгрузки сертификата.
На 3.9 альфа9 к кинетику перестал подключаться встроенный клиент на win7 по все тому же IKEv2 EAP.
Сейчас вернулся на 3.8.5. Поддержка запросила логи с сервера и селфтест роутера. Может что хорошее выйдет из этого.

[nuzhinm]

Вот прям сейчас откатил на 3.8.5. И тут же keenetic перестал подключаться к серверу strongSwan, зато встроенный клиент на win7 сходу соединился с kenetic.
Либо одно работает, либо другое )

[nuzhinm]

Поддержка подсказала как легко реанимировать соединение. Нужно выполнить команды:

(config)> no service ipsec
(config)> service ipsec

Просят несколько раз подряд выполнить эти команды, хотя и после первого введения соединение моментально поднимается.
Правда работает ~7 часов и опять пропадает.
Рекомендовали пока использовать другой протокол.

[Dr_DelProg]

Вот только нету в android 12 и strongswan других протоколов.. Разве что, пробовать перебирать сторонние приложения останется, если проблеме на решится, но судя по звёздочкам, качество там сильно хуже, чем у strongswan.

[nuzhinm]

Я обращался в поддержку, они подтвердили проблему. 

В описании к KeeneticOS 3.9 Beta 2 от 07/11/2022 есть : "Исправлена причина периодических отключений VPN-туннеля IKEv2. [NDM-2413]" 
Видио исправили, жду обновления до 3.9

[Alexey Lyahkov]

>Правда работает ~7 часов и опять пропадает.

Ровно 8 часов.  Иногда идет ругань о том что такой же SA уже есть в ядре. По ощущениям ошибку притащили в 3.8.5 а пару релизов до этого - все работало как часы.

[nuzhinm]

в свежих релизах поправили

[nuzhinm]

Встроенный клиент на windows 7 теперь не может подключиться

[Alexey Lyahkov]

Судя по всему обновление на 3.9.1 - не решает проблему с периодическими отвалами ipsec. Обновил одну из точек на 3.9.1 - стало стабильнее - но 8 часов лимита у l2tp+ipsec никуда не пропали.

[nuzhinm]

Я хочу откатиться на 3.8 но при установке дополнительных пакетов роутер обновляет прошивку до актуальной. 

[Alexey Lyahkov]

есть не нулевое подозрение что отвалы ipsec связаны с dhcp lease time и renew 😕 

[nuzhinm]

@Alexey Lyahkov т.е. в момент когда заканчивается время аренды адреса?