ikev2 strongswan нет подключения с мобильного интернета, не могу понять почему?

1

1

Всем привет!

подскажите пожалуйста, есть vps с strongswan ikev2, конфигурация ниже. С компа нормально подключается, с телефона подключенного к домашнему wi-fi тоже без проблем, но с мобильного интернета - борода. В логи смотрю и не хватает ума понять в чем дело. Подскажите пожалуйста, кто шарит?

config setup
    charondebug="ike 1, knl 1, cfg 0"
    uniqueids=no

conn ikev2-vpn
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=xxx.xxx.xx.xx
    leftid=xxx.xxx.xx.xx
    leftcert=/etc/ipsec.d/certs/server-cert.pem
    leftsendcert=always
    leftsubnet=0.0.0.0/0
    right=%any
    rightid=%any
    rightauth=eap-mschapv2
    rightsourceip=10.10.10.0/24
    rightdns=8.8.8.8,8.8.4.4
    rightsendcert=never
    eap_identity=%identity
    ike=aes256-sha256-modp2048,aes128-sha256-modp2048,aes256-sha1-modp2048,aes128-sha1-modp2048,chacha20poly1305-sha512-curve25519-prfsha512,aes256gcm16-sha384-prfsha384-ecp384,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024!
    esp=aes256-sha256-modp2048,aes128-sha256-modp2048,aes256-sha1-modp2048,aes128-sha1-modp2048,chacha20poly1305-sha512,aes256gcm16-ecp384,aes256-sha256,aes256-sha1,3des-sha1!

логи сторнгсвана в момент подключения вот такие:

Nov 04 15:54:43 x.stark-industries.solutions charon[115176]: 13[NET] received packet: from 1.1.1.90[45177] to 2.2.2.41[500] (1072 bytes)
Nov 04 15:54:43 x.stark-industries.solutions charon[115176]: 13[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) ]
Nov 04 15:54:43 x.stark-industries.solutions charon[115176]: 13[IKE] 1.1.1.90 is initiating an IKE_SA
Nov 04 15:54:43 x.stark-industries.solutions charon[115176]: 13[IKE] 1.1.1.90 is initiating an IKE_SA
Nov 04 15:54:43 x.stark-industries.solutions charon[115176]: 13[IKE] remote host is behind NAT
Nov 04 15:54:43 x.stark-industries.solutions charon[115176]: 13[IKE] DH group MODP_4096 unacceptable, requesting MODP_2048
Nov 04 15:54:43 x.stark-industries.solutions charon[115176]: 13[ENC] generating IKE_SA_INIT response 0 [ N(INVAL_KE) ]
Nov 04 15:54:43 x.stark-industries.solutions charon[115176]: 13[NET] sending packet: from 2.2.2.41[500] to 1.1.1.90[45177] (38 bytes)
Nov 04 15:54:44 x.stark-industries.solutions charon[115176]: 12[NET] received packet: from 1.1.1.90[29661] to 2.2.2.41[500] (816 bytes)
Nov 04 15:54:44 x.stark-industries.solutions charon[115176]: 12[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) ]
Nov 04 15:54:44 x.stark-industries.solutions charon[115176]: 12[IKE] 1.1.1.90 is initiating an IKE_SA
Nov 04 15:54:44 x.stark-industries.solutions charon[115176]: 12[IKE] 1.1.1.90 is initiating an IKE_SA
Nov 04 15:54:44 x.stark-industries.solutions charon[115176]: 12[IKE] remote host is behind NAT
Nov 04 15:54:44 x.stark-industries.solutions charon[115176]: 12[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(CHDLESS_SUP) N(MULT_AUTH) ]
Nov 04 15:54:44 x.stark-industries.solutions charon[115176]: 12[NET] sending packet: from 2.2.2.41[500] to 1.1.1.90[29661] (472 bytes)
Nov 04 15:54:44 x.stark-industries.solutions charon[115176]: 16[NET] received packet: from 1.1.1.90[9336] to 2.2.2.41[4500] (528 bytes)
Nov 04 15:54:44 x.stark-industries.solutions charon[115176]: 16[ENC] parsed IKE_AUTH request 1 [ IDi IDr N(MOBIKE_SUP) SA TSi TSr CPRQ(ADDR ADDR6 DNS DNS6 MASK VER) ]
Nov 04 15:54:44 x.stark-industries.solutions charon[115176]: 16[IKE] initiating EAP_IDENTITY method (id 0x00)
Nov 04 15:54:44 x.stark-industries.solutions charon[115176]: 16[IKE] peer supports MOBIKE
Nov 04 15:54:44 x.stark-industries.solutions charon[115176]: 16[IKE] authentication of '2.2.2.41' (myself) with RSA_EMSA_PKCS1_SHA2_384 successful
Nov 04 15:54:44 x.stark-industries.solutions charon[115176]: 16[IKE] sending end entity cert "CN=2.2.2.41"
Nov 04 15:54:44 x.stark-industries.solutions charon[115176]: 16[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
Nov 04 15:54:44 x.stark-industries.solutions charon[115176]: 16[ENC] splitting IKE message (1920 bytes) into 2 fragments
Nov 04 15:54:44 x.stark-industries.solutions charon[115176]: 16[ENC] generating IKE_AUTH response 1 [ EF(1/2) ]
Nov 04 15:54:44 x.stark-industries.solutions charon[115176]: 16[ENC] generating IKE_AUTH response 1 [ EF(2/2) ]
Nov 04 15:54:44 x.stark-industries.solutions charon[115176]: 16[NET] sending packet: from 2.2.2.41[4500] to 1.1.1.90[9336] (1236 bytes)
Nov 04 15:54:44 x.stark-industries.solutions charon[115176]: 16[NET] sending packet: from 2.2.2.41[4500] to 1.1.1.90[9336] (756 bytes)
Nov 04 15:54:44 x.stark-industries.solutions charon[115176]: 14[NET] received packet: from 1.1.1.90[9336] to 2.2.2.41[4500] (80 bytes)
Nov 04 15:54:44 x.stark-industries.solutions charon[115176]: 14[ENC] parsed IKE_AUTH request 2 [ EAP/RES/ID ]
Nov 04 15:54:44 x.stark-industries.solutions charon[115176]: 14[IKE] initiating EAP_MSCHAPV2 method (id 0x37)
Nov 04 15:54:44 x.stark-industries.solutions charon[115176]: 14[ENC] generating IKE_AUTH response 2 [ EAP/REQ/MSCHAPV2 ]
Nov 04 15:54:44 x.stark-industries.solutions charon[115176]: 14[NET] sending packet: from 2.2.2.41[4500] to 1.1.1.90[9336] (112 bytes)
Nov 04 15:54:44 x.stark-industries.solutions charon[115176]: 11[JOB] deleting half open IKE_SA with 1.1.1.90 after timeout

Почему на домашнем вай-фае работает, а с мобильного - нет? пробовал на разных операторах.

Отнеситесь к новичку снисходительно пожалуйста.

←	Вот вам пример как не нужно делать роли в ansible.

Ограничение прав пользователей в Sieve

→

Если VPS не в России, то это просто блокировки по протоколу.

anonymous
(04.11.24 18:20:09 MSK)

Ответ на: комментарий от anonymous 04.11.24 18:20:09 MSK

не в России, да. А почему тогда с домашней тачки подключается? а как тогда все эти VPNы работают из плеймаркета?

Zef
(04.11.24 18:23:45 MSK) автор топика

Ответ на: комментарий от Zef 04.11.24 18:23:45 MSK

А почему тогда с домашней тачки подключается?

Недосмотр.

а как тогда все эти VPNы работают из плеймаркета?

Прилагают дополнительные усилия.

Ключевые слова для самостоятельного поиска: xtls, vless, amnezia.

anonymous
(04.11.24 18:51:12 MSK)

Ответ на: комментарий от Zef 04.11.24 18:23:45 MSK

Отправь жалобу домашнему провайдеру что он блокировки не выполняет и всё поправят.

firkax ★★★★★
(04.11.24 19:32:26 MSK)

Ответ на: комментарий от firkax 04.11.24 19:32:26 MSK

по делу бы комментарий? внутри страны куча ВПНов, вряд ли это блокировка. Хотелось бы услышать комментарии специалистов понимающих логи.

Zef
(04.11.24 19:52:11 MSK) автор топика

Ответ на: комментарий от Zef 04.11.24 19:52:11 MSK

Внутри страны их и не запрещали, запретили трансграничные (потому как их массово абузят для обхода блокировок). Если мне не веришь можешь спросить в роскомнадзоре.

firkax ★★★★★
(04.11.24 19:52:42 MSK)
Последнее исправление: firkax 04.11.24 19:54:09 MSK (всего исправлений: 2)

Ответ на: комментарий от Zef 04.11.24 19:52:11 MSK

вряд ли это блокировка

Это она и есть, что не плохо в плане дальнейшего самообразования и повышения квалификации

Jurik_Phys ★★★★★
(04.11.24 20:01:30 MSK)
Последнее исправление: Jurik_Phys 04.11.24 20:04:25 MSK (всего исправлений: 1)

Ответ на: комментарий от firkax 04.11.24 19:52:42 MSK

а как они блочат? если по протоколу, то трансграничные все бы не работали, даже с домашнего инета, так ведь? или просто айпишники выделенные провайдером VPS уже попали в блокировку?

Zef
(04.11.24 20:46:03 MSK) автор топика

Ответ на: комментарий от Jurik_Phys 04.11.24 20:01:30 MSK

согласен. А что гуглить? XRay с XTLS-Reality? подскажи пожалуйста что изучать?

Zef
(04.11.24 20:47:00 MSK) автор топика

Жалуйся провайдеру. Будут бубнеть что VPN запрещён, спрашивай кем и где, потом дави на то что сменишь их говно на другое. Практически никакого толку, кроме приятной скидки. Я так на ростелекоме пол года 50% выбил.

Pierre_Dolle
(04.11.24 20:49:32 MSK)

Ответ на: комментарий от Zef 04.11.24 20:46:03 MSK

ТСПУ ставится у провайдера. Отсюда разница. На IX такого оборудования нет — видимо, в природе просто не существует достаточно производительных решений.

anonymous
(04.11.24 20:50:16 MSK)

Ответ на: комментарий от anonymous 04.11.24 20:50:16 MSK

IX это что? поясни пожалуйста?

Zef
(04.11.24 20:53:31 MSK) автор топика

Ответ на: комментарий от Zef 04.11.24 20:46:03 MSK

Ты не в ту сторону вообще думаешь. Государство тебе ясно дало понять что твой впн не одобряется, и теперь надо не думать как в прятки с ним играть а думать как избавиться от заграничных зависимостей.

firkax ★★★★★
(04.11.24 20:57:59 MSK)

Ответ на: комментарий от firkax 04.11.24 20:57:59 MSK

мне это надо не для того, чтобы государство обмануть, а чтобы ОНИ там за бугром думали что я не из России.Так-то все сайты на которые я хожу доступны и из России.

Так что хотелось бы услышать как их обмануть? )) есть варики?

Zef
(04.11.24 21:14:15 MSK) автор топика

Ответ на: комментарий от Zef 04.11.24 21:14:15 MSK

Вроде РКН вёл список одобренных государством впнов, которые уважают ркновский список блокировок и не блокируются.

firkax ★★★★★
(04.11.24 21:17:12 MSK)

Ответ на: комментарий от firkax 04.11.24 21:17:12 MSK

Есть ссылка?

Harliff ★★★★★
(12.11.24 01:00:12 MSK)

Ответ на: комментарий от firkax 04.11.24 20:57:59 MSK

Ты не в ту сторону вообще думаешь. Государство тебе ясно дало понять что твой впн не одобряется, и теперь надо не думать как в прятки с ним играть а думать как избавиться от заграничных зависимостей.

Скажите, пожалуйста, а кириллические IP-адреса будут выдавать, или надо будет ~~свои приносить~~ опять покупать?

anonymous
(12.11.24 01:03:38 MSK)

Ответ на: комментарий от Harliff 12.11.24 01:00:12 MSK

Вот что нашёл, но думаю можно и более официальное найти. Судя по написанному там, список хоть и есть но держится в секрете только для внутреннего пользования. https://lenta.ru/news/2023/10/30/happylist/

firkax ★★★★★
(12.11.24 02:05:01 MSK)
Последнее исправление: firkax 12.11.24 02:05:13 MSK (всего исправлений: 1)

При подключению к локальному wifi, например в метро все работает, затем отключаемся от wifi(не переподключая strongswan), он сам переподключается на мобильного провайдера и все продолжает работать нормально. Мобильный провайдер МТС!

anonymous
(10.12.24 10:26:15 MSK)

←	Вот вам пример как не нужно делать роли в ansible.

Admin

Ограничение прав пользователей в Sieve

→

Похожие темы