Перестало работать VPN соединение IKEv2/IPsec

[vakodmi3ch]

До обновления на 4.0.4 мои два кинетика на 3.9.8 были соединены через VPN IKEv2/IPsec и все работало как часы. Обновился случайно на одном, пропало соединение, решил обновиться на втором - чудо не случилось. Рядом с флажком включения соединения пишет ошибку "нет ip адреса".

В журнале вылезает "IKE0: can not send INFORM from interface nikecli0 with IP address 0.0.0.0."

Сталкивался ли кто-то? В настройках я точно ничего не менял. А вот бэкапа не сделал, откатиться не могу.

[Mamay]

9 часов назад, vakodmi3ch сказал:

А вот бэкапа не сделал, откатиться не могу.

Ну уж коли сам себе злобный Буратино, то проследуйте в официальную ТП.

[nomadfromx]

Добрый день! Получилось исправить даннную ошибку? Как именно?

[Семен]

Почти аналогичнавя проблема. К одному из роутеров Giga KN-1010 в один момент не смог подключиться с Android Strongswan к серверу IKEv2/IPsec VPN, при этом с этого же клиента без проблем подключаюсь к другим роутерам в частности к KN-2410 и KN-1910. В какой моменет произошло - сложно сказать, велика вероятность, что после какого-то обновления.

В ТП написал, скинул логи, предложили откатиться к 3й версии и попробовать, если заработает, то они будут ковырять проблему.

Но для меня это не вариант, боевой роутер с кучей специфических настроек.

Если у кого-то аналогичная проблема и нечего ломать, можете смоделировать ситуацию.

Начинается прослеживаться аналогия, у автора Giga KN-1010 и у меня Giga KN-1010.

[Mr.Scayger]

Есть такое. Giga (KN-1010) EAEU. Доустановил клиент, ввёл настройки, получил IKE1: can not send INFORM from interface nikecli1 with IP address 0.0.0.0. 

Версия ОС 4.1.7

Edited July 12 by Mr.Scayger

[Le ecureuil]

Проверьте на 4.2.

[fr33runner]

В 12.07.2024 в 17:56, Le ecureuil сказал:

Проверьте на 4.2.

Получил тоже самое, что и у вышевысказавшихся. 

 

IKE0: can not send INFORM from interface nikecli0 with IP address 0.0.0.0.

4.2 Beta 1. Зарегался чтобы отписаться...

[1polkovnik1]

такая же дичь 

версия 4.1.7

IKE0: can not send INFORM from interface nikecli0 with IP address 0.0.0.0. 

 

[antonwantstosleep]

Такая же проблема. Пытаюсь настроить AdGuard VPN через IKEv2 согласно официальной инструкции https://adguard-vpn.com/en/support/vpn_for_routers/install/keenetik.html

версия 4.2 Beta 2

IKE0: can not send INFORM from interface nikecli0 with IP address 0.0.0.0. 

[Le ecureuil]

Это сообщение, конечно, неприятно, но по сути не должно влиять на общую работоспособность (кроме получения роутов с удаленной стороны). Какие наблюдаются вопросы кроме этой записи?

[antonwantstosleep]

Но оно влияет.

1. Чищу лог.

2. Включаю AdGuard.

3. Получаю следующий лог.

Скрытый текст

[I] Aug 20 13:47:53 ndm: Core::Syslog: the system log has been cleared. 
[I] Aug 20 13:47:58 ndm: Network::Interface::Base: "IKE0": "base" changed "conf" layer state "disabled" to "running". 
[I] Aug 20 13:47:58 ndm: Network::Interface::Base: "IKE0": interface is up. 
[I] Aug 20 13:47:58 ndm: Core::System::StartupConfig: saving (http/rci). 
[I] Aug 20 13:47:59 ndm: IpSec::Interface::Ike: "IKE0": secure tunnel is down: retry to resolve remote endpoint. 
[I] Aug 20 13:47:59 ndm: Network::Interface::Tunnel4: "IKE0": resolved destination SOME_IP (SOME_IP). 
[I] Aug 20 13:47:59 ndm: Network::Interface::Tunnel4: "IKE0": use interface GigabitEthernet0/Vlan2 as source. 
[I] Aug 20 13:47:59 ndm: Network::Interface::Tunnel4: "IKE0": resolved source MY_IP. 
[I] Aug 20 13:47:59 ndm: Network::Interface::Ip: "IKE0": IP address cleared. 
[I] Aug 20 13:47:59 ndm: Network::Interface::Base: "IKE0": "tunnel" changed "link" layer state "pending" to "running". 
[I] Aug 20 13:47:59 ndm: Network::Interface::Tunnel4: "IKE0": added host route to tunnel destination endpoint SOME_IP via MY_GATE. 
[I] Aug 20 13:47:59 ndm: Network::Interface::Secure: "IKE0": updating server IP secure configuration #41. 
[I] Aug 20 13:47:59 ndm: IpSec::Apply: "IKE0": IP secure connection was added #41. 
[I] Aug 20 13:47:59 ndm: IpSec::Manager: "IKE0": reinitiate IP secure #41. 
[I] Aug 20 13:48:00 ndm: IpSec::Apply: create IPsec reconfiguration transaction. 
[I] Aug 20 13:48:00 ndm: IpSec::Apply: "IKE0": add crypto map config. 
[I] Aug 20 13:48:00 ndm: IpSec::Apply: reconfiguration transaction was created #42. 
[I] Aug 20 13:48:00 ndm: IpSec::Configurator: start applying configuration #42. 
[I] Aug 20 13:48:00 ndm: IpSec::CryptoMapInfo: "IKE0": initialized runtime info #41. 
[I] Aug 20 13:48:00 ndm: IpSec::Configurator: configuration applied #42. 
[I] Aug 20 13:48:01 ndm: IpSec::Netfilter: start reloading netfilter configuration... 
[I] Aug 20 13:48:01 ndm: IpSec::Netfilter: netfilter configuration reloading is done. 
[I] Aug 20 13:48:01 ndhcpc: IKE0: NDM DHCP Client, v3.2.56. 
[I] Aug 20 13:48:01 ndhcpc: IKE0: created PID file "/var/run/ndhcpc-nikecli0.pid". 
[I] Aug 20 13:48:02 ndm: Core::System::StartupConfig: configuration saved. 
[I] Aug 20 13:48:03 ipsec: Starting strongSwan 5.9.7 IPsec [starter]... 
[I] Aug 20 13:48:03 ipsec: 00[DMN] Starting IKE charon daemon (strongSwan 5.9.7, Linux 4.9-ndm-5, mips) 
[I] Aug 20 13:48:03 ipsec: 00[LIB] providers loaded by OpenSSL: legacy default 
[I] Aug 20 13:48:03 ipsec: 00[CFG] loading secrets 
[I] Aug 20 13:48:03 ndm: Io::UnixStreamSocket: connected after 1 retries. 
[I] Aug 20 13:48:03 ipsec: 00[CFG] loaded 1 RADIUS server configuration 
[I] Aug 20 13:48:03 ipsec: 00[CFG] enabling systime-fix, threshold: Tue Jan  1 00:00:00 2030 
[I] Aug 20 13:48:03 ipsec: 00[CFG]  
[I] Aug 20 13:48:03 ipsec: 00[CFG] starting system time check, interval: 10s 
[I] Aug 20 13:48:03 ipsec: 00[LIB] loaded plugins: charon random save-keys nonce x509 pubkey pkcs7 pem openssl pkcs8 xcbc cmac hmac ctr attr kernel-netlink resolve socket-default stroke vici updown eap-identity eap-md5 eap-mschapv2 eap-dynamic eap-radius eap-peap xauth-generic xauth-eap error-notify systime-fix unity counters 
[I] Aug 20 13:48:03 ipsec: 00[LIB] dropped capabilities, running as uid 65534, gid 65534 
[I] Aug 20 13:48:03 ipsec: 14[CFG] loaded EAP shared key with id 'IKE0-EAP-XAUTH-EAP-XAUTH' for: 'MY_LOGIN' 
[I] Aug 20 13:48:03 ipsec: 04[CFG] loaded NTLM shared key with id 'admin-SERVER-XAUTH' for: 'admin' 
[I] Aug 20 13:48:03 ipsec: 14[CFG] loaded 0 entries for attr plugin configuration 
[I] Aug 20 13:48:03 ipsec: 14[CFG] loaded 1 RADIUS server configuration 
[I] Aug 20 13:48:03 ipsec: 04[CFG] added vici connection: IKE0 
[I] Aug 20 13:48:03 ipsec: 04[CFG] initiating 'IKE0' 
[I] Aug 20 13:48:03 ipsec: 04[IKE] initiating IKE_SA IKE0[1] to SOME_IP 
[I] Aug 20 13:48:03 ipsec: 10[IKE] initiating IKE_SA IKE0[1] to SOME_IP 
[I] Aug 20 13:48:03 ipsec: 15[IKE] peer didn't accept DH group MODP_1024, it requested ECP_384 
[I] Aug 20 13:48:03 ipsec: 15[IKE] initiating IKE_SA IKE0[1] to SOME_IP 
[I] Aug 20 13:48:03 ipsec: 10[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384 
[I] Aug 20 13:48:03 ipsec: 10[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 
[I] Aug 20 13:48:03 ipsec: 10[CFG] selected proposal: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384 
[I] Aug 20 13:48:03 ipsec: 10[CFG] no IDi configured, fall back on IP address 
[I] Aug 20 13:48:03 ipsec: 10[IKE] establishing CHILD_SA IKE0{1} 
[E] Aug 20 13:48:07 ndhcpc: IKE0: can not send INFORM from interface nikecli0 with IP address 0.0.0.0. 
[I] Aug 20 13:48:11 ipsec: 06[IKE] retransmit 1 of request with message ID 1 
[I] Aug 20 13:48:20 ipsec: 13[IKE] retransmit 2 of request with message ID 1 
[I] Aug 20 13:48:30 ipsec: 07[IKE] retransmit 3 of request with message ID 1 
[I] Aug 20 13:48:40 ipsec: 06[IKE] retransmit 4 of request with message ID 1 
[I] Aug 20 13:48:52 ipsec: 08[IKE] retransmit 5 of request with message ID 1 

При этом VPN не работает.

UPD: На обычной (не beta) прошивке вместо "Неизвестно" пишет "Нет IP адреса"  

В 28.09.2023 в 00:41, vakodmi3ch сказал:

Рядом с флажком включения соединения пишет ошибку "нет ip адреса"

 

Edited August 20 by antonwantstosleep

[Денис Мухаметов]

купил блин роутер... на Sprinter (KN-3710) EAEU при настройка adguard IKEv2 НЕТ IP-АДРЕСА

[Le ecureuil]

А вы уверены, что дело в Keeentic, а не в том, что IKEv2-соединения фильтруются провайдерами и ТСПУ?

Можете проверить на ПК или на смартфоне, соединение устанавливается?

[Maker]

12 часа назад, Le ecureuil сказал:

А вы уверены, что дело в Keeentic, а не в том, что IKEv2-соединения фильтруются провайдерами и ТСПУ?

Можете проверить на ПК или на смартфоне, соединение устанавливается?

Уверены!

С компа и смартфона впн работает, а на Keenetic Start  KN-1112-01 Ru при подключении по ikev2 пишет нет ip адреса а через некоторое время нет соединения красным, хотя в приоритетах подключений горит зелененый кругляш.

Такая же история с openvpn и wireguard

Так как решить эту проблему? Со стороны провайдера нет блокировок, все ip адреса впн успешно пингуются во вкладке диагностика на веб морде. Или  на уровне новых прошивок заблочили впн?  

Edited August 22 by Maker

[Le ecureuil]

7 часов назад, Maker сказал:

Уверены!

С компа и смартфона впн работает, а на Keenetic Start  KN-1112-01 Ru при подключении по ikev2 пишет нет ip адреса а через некоторое время нет соединения красным, хотя в приоритетах подключений горит зелененый кругляш.

Такая же история с openvpn и wireguard

Так как решить эту проблему? Со стороны провайдера нет блокировок, все ip адреса впн успешно пингуются во вкладке диагностика на веб морде. Или  на уровне новых прошивок заблочили впн?  

В таком случае обратитесь в официальную поддержку, там вам помогут снять правильную диагностику, чтобы понять, что происходит.

[Maker]

После трех дней и много часовых попыток запустить клиенты делаю вывод, похоже тут бесполезны танцы с бубнами, новый роутер с поддержкой всех этих функций а по факту абсолютно бесполезный, все клиенты только для галочки и ни один не рабоатет ни с одним поставщиком услуг, полный хлам! Выкинул деньги на ветер, купился на маркетинг и бренд Keenetic 👎

[Le ecureuil]

10 часов назад, Maker сказал:

После трех дней и много часовых попыток запустить клиенты делаю вывод, похоже тут бесполезны танцы с бубнами, новый роутер с поддержкой всех этих функций а по факту абсолютно бесполезный, все клиенты только для галочки и ни один не рабоатет ни с одним поставщиком услуг, полный хлам! Выкинул деньги на ветер, купился на маркетинг и бренд Keenetic 👎

Почему в поддержку не обратитесь?

[Viacheslav Osadchiy]

Аналогичная проблема на KN-3710, несколько дней назад просто в рандомный момент перестало работать соединение IKEv2, ошибка либо аналогична выше изложенной, либо вообще без ошибок, но так или иначе IP не получает.

[antonwantstosleep]

В 20.08.2024 в 13:53, antonwantstosleep сказал:

UPD: На обычной (не beta) прошивке вместо "Неизвестно" пишет "Нет IP адреса"

РЕШЕНО: внезапно на моём Keenetic Hopper заработал AdGuard по IKEv2. В личном кабинете AdGuard статус обновился. Прошивка 4.2 Beta 2.

Значит, проблема была на стороне AdGuard, потому что мой провайдер тоже IKEv2 не блочит (с телефона и с браузера работало, как и у остальных).

[dimariqe]

Удалось решить проблемы на 4.2 Beta 3 путем пересоздания всех подключений. Итого работает сервер и клиент, а так же клиенты на телефоне подключаются к серверу на keenetic. Попробуйте просто удалить все подключения и создать заново.

В моем случае была проблема переноса конфигурации со стабильной ветки 4.1.7 на бетку

Edited September 7 by dimariqe

[Pit74]

Такая же проблема, AdGuard через IKEv2 Нет IP-адреса. Приложение для Windows работает, что означает со стороны провайдера нет блокировок. Роутер Keenetic Sprinter (KN-3710) EAEU пробовал разные прошивки, 3, 4 версии и последние 4.2 Beta 3, не чего не помогло, правильно я понял что проблема не в роутере, а на стороне AdGuard и работает рандомно у всех, мне в тех поддержку AdGuard писать надо?

[Александр Туркин]

Получилось подключиться . В настройках своего сервера, в ipsec.conf изменил (т.е. добавил алгоритмов шифрования) :

 ike=chacha20poly1305-sha512-curve25519-prfsha512,aes256gcm16-sha384-prfsha384-ecp384,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024!
    esp=chacha20poly1305-sha512,aes256gcm16-ecp384,aes256-sha256,aes256-sha1,3des-sha1!

 

Edited September 11 by Александр Туркин

[Pit74]

 ipsec.conf как в него попасть?

[Snowdan]

Настраиваю так же Адгард ВПН, обновился до 4.2 Beta 4 - висит в статусе неизвестно. Кто нибудь победил ?

[pzxmtx]

Аналогичная проблема с AdGuard VPN. Keenetic 4.1, Giga KN-1010

IKE1: can not send INFORM from interface nikecli1 with IP address 0.0.0.0.

В дашборде ошибка - Нет IP-адреса.

[Le ecureuil]

Кто-нибудь соизволит self-test приложить в момент, когда не соединяется?

[pzxmtx]

self-test уже передавался службе техподдержки. К сожалению, предварительный вывод неутешительный - проблема на уровне провайдера.

Я передавал коллегам учетные данные для подключения через adguard vpn. По их словам, поддержка сумела успешно настроить подключение на своем стенде, в отличие от меня. Смущают несколько моментов:

• в своем личном кабинете aguard у этого соединения все так же не зафиксировано активности; как если бы коллеги из поддержки не подключались бы вовсе;
• настройка подключения через двух различных провайдеров на двух разных роутерах (Giga и Air) приводит к идентичным результатом;
• VPN на мобильном устройстве и в Windows работает корректно.

В личном кабинете adguard, я попробовал удалить существующее подключение и создать новые учетные данные для подключения на роутере, но, выбрав русский язык в кабинете, получил предупреждение:

Quote

В вашей стране могут быть проблемы с IPsec. Мы уже работаем над тем, чтобы добавить новые протоколы, но сейчас не рекомендуем использовать эту функцию

Возможно, для VPN на мобильном и на компьютере используется более широкий диапазон адресов, которые не попадают в поле зрения провайдеров?

[Mr.Scayger]

Кстати, в ЛК AG есть параметр ID сервера, а в настройках его нет. И перед 0.0.0.0 в логах появляется запись:

ipsec

10[CFG] no IDi configured, fall back on IP address

Может просто забыли ?)

[alexei_v2000]

Здравствуйте. Подскажите, перестал открываться порт до видеорегистратора на версии 4.2 финал, на 4.1.7 проблем таких не было, сервер  IKEv2/IPsec поднят на kn-1010 stat IP, клиент на kn-1010 моб оператор. Накатываю 4.2 на 4.1.7 порт закрыт, откатываюсь на 4.1.7, порт открыт. 

[NielDeOne]

день добрый, подскажите пожалуйста, имеется кинетик хоппер, подключение настроено через xkeen, так же пользуюсь подключением со смартфона через ikev2 с помощью приложения strongswap, до сегодняшнего дня всё работало как часики, однако теперь к роутеру я подключаюсь (мобильный инет Теле2), но обход блокировок не работает от слова совсем. Никакие настройки не менялись, подскажите, где копать? Либо может есть аналогичная альтернатива? Спасибо!

 

charon.log.txt

Edited October 16 by NielDeOne