LINUX.ORG.RU
решено ФорумAdmin

ipsec ikev2 - подключается без корневого

 , ,


1

1

Добрый день, лор. Установил и настроил ikev2 впн, Debian 11, strongSwan U5.9.1/K5.10.0-21-amd64, сертификаты сгенерировал самоподписанные так, адрес сервер впн - 100.100.100.1 ( там публичный ip, это для примера )

 pki --gen --type rsa --size 4096 --outform pem > ca-key.pem
 pki --self --ca --lifetime 3650 --in ~/pki/private/ca-key.pem \
    --type rsa --dn "CN=VPN root CA" --outform pem > ca-cert.pem
 pki --gen --type rsa --size 4096 --outform pem > server-key.pem
 pki --pub --in server-key.pem --type rsa | pki --issue --lifetime 1825 --cacert ~/pki/cacerts/ca-cert.pem         --cakey ca-key.pem --dn "CN=100.100.100.1" --san @100.100.100.1 --san 100.100.100.1 --flag serverAuth --flag ikeIntermediate --outform pem     > server-cert.pem

Конфиг выглядит так

config setup
	charondebug="ike 1, knl 1, cfg 1"
	uniqueids=no

conn ikev2-vpn
	auto=add
	compress=no
	type=tunnel
	keyexchange=ikev2
	fragmentation=yes
	forceencaps=yes

conn ikev2-vpn
	dpdaction=clear
	dpddelay=300s
	rekey=no
	left=%any
	leftid=100.100.100.1
	leftcert=server-cert.pem
	leftsendcert=always
	leftsubnet=0.0.0.0/0
	right=%any
	rightid=%any
	rightauth=eap-mschapv2
	rightsourceip=10.10.10.0/24
	rightdns=8.8.8.8,8.8.4.4
	rightsendcert=never
	eap_identity=%identity
	ike=aes256-sha256-modp2048,aes128-sha256-modp2048,aes256-sha1-modp2048,aes128-sha1-modp2048!
	esp=aes256-sha256-modp2048,aes128-sha256-modp2048,aes256-sha1-modp2048,aes128-sha1-modp2048!

Юзеры положены в ipsec.secrets. Тут-то и начинается интересное, я ожидаю, что при попытке подключения macOs ventura пошлет меня, не сумев проверить самоподписанный сертификат, а во факту успешно подключается, мне не пришлось добавлять корневой к себе на машину. Вопрос - почему так, может я что-то не так настроил? На что обратить внимание в логах?

Jun 11 05:36:00  charon: 09[IKE] EAP method EAP_MSCHAPV2 succeeded, MSK established
Jun 11 05:36:00  ipsec[9332]: 09[IKE] EAP method EAP_MSCHAPV2 succeeded, MSK established
Jun 11 05:36:00  charon: 09[ENC] generating IKE_AUTH response 4 [ EAP/SUCC ]
Jun 11 05:36:00  charon: 09[NET] sending packet: from 100.100.100.1[4500] to 212.124.28.17[16992] (80 bytes)
Jun 11 05:36:00  charon: 12[NET] received packet: from 212.124.28.17[16992] to 100.100.100.1[4500] (112 bytes)
Jun 11 05:36:00  charon: 12[ENC] parsed IKE_AUTH request 5 [ AUTH ]
Jun 11 05:36:00  charon: 12[IKE] authentication of '192.168.0.104' with EAP successful
Jun 11 05:36:00  charon: 12[IKE] authentication of '100.100.100.1' (myself) with EAP
Jun 11 05:36:00  charon: 12[IKE] IKE_SA ikev2-vpn[17] established between 100.100.100.1[100.100.100.1]...212.124.28.17[192.168.0.104]
Jun 11 05:36:00  charon: 12[IKE] peer requested virtual IP %any
Jun 11 05:36:00  charon: 12[CFG] reassigning offline lease to 'vpnusernnn'
Jun 11 05:36:00  charon: 12[IKE] assigning virtual IP 10.10.10.1 to peer 'vpnusernnn'
Jun 11 05:36:00  charon: 12[IKE] peer requested virtual IP %any6
Jun 11 05:36:00  charon: 12[IKE] no virtual IP found for %any6 requested by 'vpnusernnn'
Jun 11 05:36:00  charon: 12[CFG] selected proposal: ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ
Jun 11 05:36:00  charon: 12[IKE] CHILD_SA ikev2-vpn{2} established with SPIs c315596a_i 05a05f74_o and TS 0.0.0.0/0 === 10.10.10.1/32
Jun 11 05:36:00  charon: 12[ENC] generating IKE_AUTH response 5 [ AUTH CPRP(ADDR DNS DNS) SA TSi TSr N(MOBIKE_SUP) N(ADD_6_ADDR) ]
Jun 11 05:36:00  charon: 12[NET] sending packet: from 100.100.100.1[4500] to 212.124.28.17[16992] (272 bytes)


Последнее исправление: sysmerge_ (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

Нет, только сертификат. Что характерно - на ios устройстве подключение не работало до тех пор, пока я не скачал ca-cert.pem и не установил вручную его на устройство. То есть поведение вполне предсказуемое и нормальное.

И я кажется понял в чем дело, при добавлении впна макось закинула в кейчейн x-auth запись, которая, судя по всему, прокатывала вместо добавленного вручную рутового сертификата. После удаление записи перестало подключаться, а после добавления рут сертификата снова стало.

В общем, разобрался, спасибо за наводку и что откликнулись

sysmerge_
() автор топика