Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: бьюсь с VPN IPsec IKEv2 strongSwan на Ubuntu-server  (Прочитано 1463 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн zaka4kin

  • Автор темы
  • Новичок
  • *
  • Сообщений: 2
    • Просмотр профиля
бьюсь с VPN IPsec IKEv2 strongSwan на Ubuntu-server
« : 17 Декабря 2020, 09:17:14 »
Доброго времени...

на виртуальной обкатке имею:

Ubuntu-server 20.04 + strongSwan 5.8.2

и

Win10 20H2 x64.

обе лежат в одной сети.

ipsec.conf срисовал отсюда. оттуда же и ipsec.secrets.

подключаюсь... выползла ошибка 13868, пофиксил.
прописал пока "ike=aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024"...

НО винда не унимается... выдаёт "ошибку обработки полезных данных ke" за номером 13833.

может кто сталкивался?

второй вопрос - реально ли замутить VPN IPsec IKEv2 без центра сертификации, генерации сертификата и прочего?
(прошу прощения за возможно неправильные термины/понятия. только начал щупать данную тему).
вопрос возник потому, что у них то инфа про это есть
https://www.strongswan.org/testing/testresults/ikev2/rw-psk-ipv4/.
яж не ошибся, там чисто по ключу подключение, без сертификатов всяких?

Спасибо!

Оффлайн AlexDem

  • Активист
  • *
  • Сообщений: 628
    • Просмотр профиля
Re: бьюсь с VPN IPsec IKEv2 strongSwan на Ubuntu-server
« Ответ #1 : 17 Декабря 2020, 10:43:40 »
яж не ошибся, там чисто по ключу подключение, без сертификатов всяких?
А в чем проблема сделать самому сертификат Х.509 сервера, клиента, ключей и пр., и пользоваться этим всем хозяйством?
Принцип безопасного соединения заключается в том, что поскольку те открытые ключи, которыми обмениваются клиент и сервер передаются изначально по незащищенному каналу и могут быть перехвачены, расшифрованы и подменены, поэтому достоверность ключей по которым клиент и сервер "узнают" друг-друга подтверждаются сертификатами, которые хранятся локально на клиенте и сервере и никуда не передаются во время сеанса связи, а следовательно не могут быть взломаны (ну, если их не похитили отдельно).
Поэтому VPN без сертификата это просто шифрование закрытым симметричным ключом.

Оффлайн zaka4kin

  • Автор темы
  • Новичок
  • *
  • Сообщений: 2
    • Просмотр профиля
Re: бьюсь с VPN IPsec IKEv2 strongSwan на Ubuntu-server
« Ответ #2 : 21 Января 2021, 09:57:01 »
Доброго времени всем...

собрал стенд на virtualbox:

Win-клиент -- NAT (10.0.10.0/24) -- Ubuntu-Server 20.04 + VPN IKEv2-сервер (10.0.10.10)

адрес хоста 10.89.7.2. UDP 500, 4500 пробросил с 10.89.7.2 на 10.0.10.10 в Файл -> Настройки -> Сеть.

отключил брандмауэр на Windows и UFW на Ubuntu-server (подстраховался)...

подготовка сертификатов:
(Нажмите, чтобы показать/скрыть)

ipsec.conf:
(Нажмите, чтобы показать/скрыть)

пробовал и

left=%defaultroute
leftfirewall=yes

ipsec.secrets
(Нажмите, чтобы показать/скрыть)

не хочет подключаться и всё, "ошибка сопоставления групповой политики".

если и сервер и клиент в одной подсети, то подключение проходит,

без

[code]left=%defaultroute
leftfirewall=yes

естественно.

Что я упускаю из виду?

 

Страница сгенерирована за 0.039 секунд. Запросов: 26.