Добрый день, лор. Установил и настроил ikev2 впн, Debian 11, strongSwan U5.9.1/K5.10.0-21-amd64, сертификаты сгенерировал самоподписанные так, адрес сервер впн - 100.100.100.1 ( там публичный ip, это для примера )
pki --gen --type rsa --size 4096 --outform pem > ca-key.pem
pki --self --ca --lifetime 3650 --in ~/pki/private/ca-key.pem \
--type rsa --dn "CN=VPN root CA" --outform pem > ca-cert.pem
pki --gen --type rsa --size 4096 --outform pem > server-key.pem
pki --pub --in server-key.pem --type rsa | pki --issue --lifetime 1825 --cacert ~/pki/cacerts/ca-cert.pem --cakey ca-key.pem --dn "CN=100.100.100.1" --san @100.100.100.1 --san 100.100.100.1 --flag serverAuth --flag ikeIntermediate --outform pem > server-cert.pem
Конфиг выглядит так
config setup
charondebug="ike 1, knl 1, cfg 1"
uniqueids=no
conn ikev2-vpn
auto=add
compress=no
type=tunnel
keyexchange=ikev2
fragmentation=yes
forceencaps=yes
conn ikev2-vpn
dpdaction=clear
dpddelay=300s
rekey=no
left=%any
leftid=100.100.100.1
leftcert=server-cert.pem
leftsendcert=always
leftsubnet=0.0.0.0/0
right=%any
rightid=%any
rightauth=eap-mschapv2
rightsourceip=10.10.10.0/24
rightdns=8.8.8.8,8.8.4.4
rightsendcert=never
eap_identity=%identity
ike=aes256-sha256-modp2048,aes128-sha256-modp2048,aes256-sha1-modp2048,aes128-sha1-modp2048!
esp=aes256-sha256-modp2048,aes128-sha256-modp2048,aes256-sha1-modp2048,aes128-sha1-modp2048!
Юзеры положены в ipsec.secrets. Тут-то и начинается интересное, я ожидаю, что при попытке подключения macOs ventura пошлет меня, не сумев проверить самоподписанный сертификат, а во факту успешно подключается, мне не пришлось добавлять корневой к себе на машину. Вопрос - почему так, может я что-то не так настроил? На что обратить внимание в логах?
Jun 11 05:36:00 charon: 09[IKE] EAP method EAP_MSCHAPV2 succeeded, MSK established
Jun 11 05:36:00 ipsec[9332]: 09[IKE] EAP method EAP_MSCHAPV2 succeeded, MSK established
Jun 11 05:36:00 charon: 09[ENC] generating IKE_AUTH response 4 [ EAP/SUCC ]
Jun 11 05:36:00 charon: 09[NET] sending packet: from 100.100.100.1[4500] to 212.124.28.17[16992] (80 bytes)
Jun 11 05:36:00 charon: 12[NET] received packet: from 212.124.28.17[16992] to 100.100.100.1[4500] (112 bytes)
Jun 11 05:36:00 charon: 12[ENC] parsed IKE_AUTH request 5 [ AUTH ]
Jun 11 05:36:00 charon: 12[IKE] authentication of '192.168.0.104' with EAP successful
Jun 11 05:36:00 charon: 12[IKE] authentication of '100.100.100.1' (myself) with EAP
Jun 11 05:36:00 charon: 12[IKE] IKE_SA ikev2-vpn[17] established between 100.100.100.1[100.100.100.1]...212.124.28.17[192.168.0.104]
Jun 11 05:36:00 charon: 12[IKE] peer requested virtual IP %any
Jun 11 05:36:00 charon: 12[CFG] reassigning offline lease to 'vpnusernnn'
Jun 11 05:36:00 charon: 12[IKE] assigning virtual IP 10.10.10.1 to peer 'vpnusernnn'
Jun 11 05:36:00 charon: 12[IKE] peer requested virtual IP %any6
Jun 11 05:36:00 charon: 12[IKE] no virtual IP found for %any6 requested by 'vpnusernnn'
Jun 11 05:36:00 charon: 12[CFG] selected proposal: ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ
Jun 11 05:36:00 charon: 12[IKE] CHILD_SA ikev2-vpn{2} established with SPIs c315596a_i 05a05f74_o and TS 0.0.0.0/0 === 10.10.10.1/32
Jun 11 05:36:00 charon: 12[ENC] generating IKE_AUTH response 5 [ AUTH CPRP(ADDR DNS DNS) SA TSi TSr N(MOBIKE_SUP) N(ADD_6_ADDR) ]
Jun 11 05:36:00 charon: 12[NET] sending packet: from 100.100.100.1[4500] to 212.124.28.17[16992] (272 bytes)
