Не устанавливается L2TP/IPSEC соединение в режиме максимальной производительности

[Михаил Бесчетнов]

День добрый!

В качестве VPN сервера - Keenetic Giga, в качестве клиента - Viva.

Настроил по официальной инструкции L2TP/IPSEC соединение между ними, но заработало всё только после того, как на сервере установил режим оптимизации "Для устаревших VPN клиентов". При включенной опции "Максимальная производительность" в логах откладывался следующий блок записей:

[I] Jul  4 11:54:16 ipsec: 08[IKE] received DPD vendor ID 
[I] Jul  4 11:54:16 ipsec: 08[IKE] received FRAGMENTATION vendor ID 
[I] Jul  4 11:54:16 ipsec: 08[IKE] received NAT-T (RFC 3947) vendor ID 
[I] Jul  4 11:54:16 ipsec: 08[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
[I] Jul  4 11:54:16 ipsec: 08[IKE] 95.55.12.66 is initiating a Main Mode IKE_SA 
[I] Jul  4 11:54:16 ipsec: 08[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024 
[I] Jul  4 11:54:16 ipsec: 08[CFG] configured proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_768, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:DES_CBC/HMAC_SHA1_96/PRF [...]
[I] Jul  4 11:54:16 ipsec: 08[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 
[I] Jul  4 11:54:16 ipsec: 08[IKE] sending DPD vendor ID 
[I] Jul  4 11:54:16 ipsec: 08[IKE] sending FRAGMENTATION vendor ID 
[I] Jul  4 11:54:16 ipsec: 08[IKE] sending NAT-T (RFC 3947) vendor ID 
[I] Jul  4 11:54:17 ipsec: 05[IKE] local host is behind NAT, sending keep alives 
[I] Jul  4 11:54:17 ipsec: 05[IKE] remote host is behind NAT 
[I] Jul  4 11:54:17 ipsec: 05[IKE] linked key for crypto map '(unnamed)' is not found, still searching 
[I] Jul  4 11:54:17 ipsec: 04[CFG] looking for pre-shared key peer configs matching 192.168.100.2...95.55.12.66[192.168.100.2] 
[I] Jul  4 11:54:17 ipsec: 04[CFG] selected peer config "VPNL2TPServer" 
[I] Jul  4 11:54:17 ipsec: 04[IKE] IKE_SA VPNL2TPServer[152] established between 192.168.100.2[192.168.100.2]...95.55.12.66[192.168.100.2] 
[I] Jul  4 11:54:17 ipsec: 15[CFG] received proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA2_256_128/NO_EXT_SEQ 
[I] Jul  4 11:54:17 ipsec: 15[CFG] configured proposals: ESP:CHACHA20_POLY1305/NO_EXT_SEQ 
[I] Jul  4 11:54:17 ipsec: 15[IKE] no matching proposal found, sending NO_PROPOSAL_CHOSEN 
[I] Jul  4 11:54:19 ipsec: 06[IKE] received DELETE for IKE_SA VPNL2TPServer[152] 
[I] Jul  4 11:54:19 ipsec: 06[IKE] deleting IKE_SA VPNL2TPServer[152] between 192.168.100.2[192.168.100.2]...95.55.12.66[192.168.100.2] 

Вопрос - можно ли заставить Viva соединяться с использованием ChaCha20-Poly1305? )

[Михаил Бесчетнов]

Это я накосячил, воткнув непонятно что в качестве ревизии в подписи.

Keenetic OS стоит последняя везде.

Ну и логи Giga (и настройки) говорят, вроде как, что она как раз "могёт".

[Михаил Бесчетнов]

Я, видимо, неверно читаю логи. В обзоре модели (https://www.ixbt.com/nw/keenetic-giga-kn-1011-review.html) сказано, что "Также новая архитектура позволяет работать с современными быстрыми программными алгоритмами, к примеру CHACHA20-POLY1305".

В логах написано "configured proposals: ESP:CHACHA20_POLY1305/NO_EXT_SEQ", т.е. chacha20 на Giga и поддерживается и, судя по логам, сконфигурирован. "no matching proposal found" говорит мне о том, что Giga не видит среди полученных от Viva протоколов (received proposals) настроенного CHACHA20-POLY1305 (и его там действительно нет).

Где я ошибся в интерпретации логов?

[Михаил Бесчетнов]

Спасибо, в этом сообщении есть что-то полезное, кроме токсичности.

[Migel]

Столкнулся с такой же проблемой.

Сервер Ultra KN-1810 прошивка 4.0.4, клиент ZyXEL Keenetic Ultra II прошивка 3.9.8

В режиме оптимизации "По умолчанию" соединяется, в режиме оптимизации "Максимальная производительность" - NO_PROPOSAL_CHOSEN