LINUX.ORG.RU
ФорумAdmin

StrongSwan не подключается через мобильного оператора

 


0

1

Всем привет. Есть за бугром сервер StrongSwan, через наземных операторов связи все подключается нормально, как только на Android я отключаю WiFi и оставляю только мобильные данные, подключение не происходит.

Это с мобильного интернета:

Sep 18 22:33:00 14[CFG] checking certificate status of «CN=95.0.0.16»

Sep 18 22:33:00 14[CFG] certificate status is not available Sep 18 22:33:00 14[IKE] authentication of ‘95.0.0.16’ with RSA_EMSA_PKCS1_SHA2_384 successful

Sep 18 22:33:00 14[IKE] server requested EAP_IDENTITY (id 0x00), sending ‘nsa’

Sep 18 22:33:00 14[ENC] generating IKE_AUTH request 2 [ EAP/RES/ID ]

Sep 18 22:33:00 14[NET] sending packet: from 10.225.169.240[34620] to 95.0.0.16[4500] (69 bytes)

Sep 18 22:33:02 08[IKE] retransmit 1 of request with message ID 2

Sep 18 22:33:02 08[NET] sending packet: from 10.225.169.240[34620] to 95.0.0.16[4500] (69 bytes)

Sep 18 22:33:05 07[IKE] retransmit 2 of request with message ID 2

Sep 18 22:33:05 07[NET] sending packet: from 10.225.169.240[34620] to 95.0.0.16[4500] (69 bytes)

Sep 18 22:33:09 10[IKE] retransmit 3 of request with message ID 2

Sep 18 22:33:09 10[NET] sending packet: from 10.225.169.240[34620] to 95.0.0.16[4500] (69 bytes)

Sep 18 22:33:15 09[IKE] giving up after 3 retransmits

Sep 18 22:33:15 09[IKE] establishing IKE_SA failed, peer not responding

Sep 18 22:33:15 09[IKE] unable to terminate IKE_SA: ID 1 not found

Это с проводного:

Sep 18 22:38:45 11[CFG] checking certificate status of «CN=95.0.0.16»

Sep 18 22:38:45 11[CFG] certificate status is not available

Sep 18 22:38:45 11[IKE] authentication of ‘95.0.0.16’ with RSA_EMSA_PKCS1_SHA2_384 successful

Sep 18 22:38:45 11[IKE] server requested EAP_IDENTITY (id 0x00), sending ‘nsa’

Sep 18 22:38:45 11[ENC] generating IKE_AUTH request 2 [ EAP/RES/ID ]

Sep 18 22:38:45 11[NET] sending packet: from 10.70.40.100[59779] to 95.0.0.16[4500] (69 bytes)

Sep 18 22:38:45 12[NET] received packet: from 95.0.0.16[4500] to 10.70.40.100[59779] (97 bytes)

Sep 18 22:38:45 12[ENC] parsed IKE_AUTH response 2 [ EAP/REQ/MSCHAPV2 ]

Sep 18 22:38:45 12[IKE] server requested EAP_MSCHAPV2 authentication (id 0xE3)

Sep 18 22:38:45 12[ENC] generating IKE_AUTH request 3 [ EAP/RES/MSCHAPV2 ]

Sep 18 22:38:45 12[NET] sending packet: from 10.70.40.100[59779] to 95.0.0.16[4500] (123 bytes)

Sep 18 22:38:45 14[NET] received packet: from 95.0.0.16[4500] to 10.70.40.100[59779] (134 bytes)

Sep 18 22:38:45 14[ENC] parsed IKE_AUTH response 3 [ EAP/REQ/MSCHAPV2 ]

Sep 18 22:38:45 14[IKE] EAP-MS-CHAPv2 succeeded: ‘Welcome2strongSwan’

Sep 18 22:38:45 14[ENC] generating IKE_AUTH request 4 [ EAP/RES/MSCHAPV2 ]

Sep 18 22:38:45 14[NET] sending packet: from 10.70.40.100[59779] to 95.0.0.16[4500] (67 bytes)

Sep 18 22:38:45 15[NET] received packet: from 95.0.0.16[4500] to 10.70.40.100[59779] (65 bytes)

Sep 18 22:38:45 15[ENC] parsed IKE_AUTH response 4 [ EAP/SUCC ]

Sep 18 22:38:45 15[IKE] EAP method EAP_MSCHAPV2 succeeded, MSK established

Sep 18 22:38:45 15[IKE] authentication of ‘nsa’ (myself) with EAP … Ну и далее до Sep 18 22:38:46 06[CFG] selected proposal: ESP:CHACHA20_POLY1305/NO_EXT_SEQ

Sep 18 22:38:46 06[IKE] CHILD_SA android{3} established with SPIs 0d34183a_i c358eefb_o and TS 100.64.100.1/32 === 0.0.0.0/0

Sep 18 22:38:46 06[DMN] setting up TUN device for CHILD_SA android{3}

Sep 18 22:38:46 06[DMN] successfully created TUN device

Направьте куда копать !!!



Последнее исправление: nsa777 (всего исправлений: 3)
YouTube c vless
Сравнение Xray-core и Sing-box и другие программы поддерживающие VLESS + XTLS-Reality

Копать в сторону техподдержки этого мобильного оператора. Если это нужно для бизнеса — узнавай как оформить разрешение на трансграничный VPN, чтобы вашу контору в «белый список» внесли на ТСПУ.

То что это работает через наземных операторов — это недоработка, возможно очень скоро работать перестанет. Потому что вообще то работать как раз и не должно. Все разновидности трансграничных VPN, в том числе и твой «мощный лебедь», должны выявляться через DPI на ТСПУ и блокироваться, если инициирующий их IP или диапазон не в «белом списке». Видимо у вас там бедный и ленивый наземный пров, он между прочим лицензией рискует.

Jameson ★★★★★
()
Ответ на: комментарий от Jameson

Странно то что один из операторов дома у меня Megafon LTE (через сим-карту) и на нем работает нормально. А на смартфоне Megafon корпоративный и Beeline обычный на них швах. Поэтому я думал что может в настройках телефона что не так.

nsa777
() автор топика
10 декабря 2024 г.
Ответ на: комментарий от GLaDOS

Старнно. Если в начале юзать локальный wifi, даже с городским в метро, все работает. Не выключая лебедя отключаем wifi, все продолжает работать. Мобильный провайдер МТС

anonymous
()
YouTube c vless
Admin
Сравнение Xray-core и Sing-box и другие программы поддерживающие VLESS + XTLS-Reality