Jump to content
  • 1
KorDen

IPsec VirtualIP плохо работает на 3.5

Question

Штатный клиент Android 7.1.1, на 3.4 работает нормально, на 3.5 после починки VirtualIP в Alpha 13 им невозможно пользоваться: всё TCPшное дико тупит, страницы не открываются и т.п.

Пока не очень ясно, в какую сторону копать, поэтому просто два self-test при подключенном телефоне с 3.4 и 3.5

  • Thanks 1
  • Upvote 1

Share this post


Link to post
Share on other sites

9 answers to this question

Recommended Posts

  • 0

не знаю, насколько моя проблема имеет схожие корни, но что на предыдущих альфах, что на бета 0: аналогично имеем роутер (даже два в разных квартирах и типичных домашних конфигах, провайдеры по DHCP через mac, но проблему воспроизвожу одинаково на обоих)  с VirtualIPServer и подключаемся к нему айфоном стандартным IPsec клиентом. И не можем зайти ни на какой сайт по доменному имени. Хром пишет ERR_CONNECTION_TIMED_OUT. Однако по прямым ip всё открывается. И сайты на серверах в локальной сети (192.168.0.x) и сайты в инете (ну те, что не редиректят сразу на домен. Те, что редиректят - после редиректа тоже уходят в таймаут, но сам редирект на домен отрабатывает). 

На 3.4, соответственно, всё работало. 

В интернет фильтрах ничего нет, ни DoT ни антирекламы. В настройках VPN в роутере в поле DNS  прописывал разные DNS в адресе, и 192.168.0.1 и 8.8.8.8.  В айфоне в настройках сети видно проброшенный 8.8.8.8. 

На ранних альфах в логе были ошибки при коннекте клиента и даже на страничке подключенных клиентов клиента не было видно, щас вроде всё устаканилось, коннект/клиент  виден, килобайты идут.  но по факту так же не работает.

Авг 17 11:39:21 ipsec
14[IKE] received NAT-T (RFC 3947) vendor ID
Авг 17 11:39:21 ipsec
14[IKE] received draft-ietf-ipsec-nat-t-ike vendor ID
Авг 17 11:39:21 ipsec
14[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID
Авг 17 11:39:21 ipsec
14[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID
Авг 17 11:39:21 ipsec
14[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID
Авг 17 11:39:21 ipsec
14[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID
Авг 17 11:39:21 ipsec
14[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID
Авг 17 11:39:21 ipsec
14[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
Авг 17 11:39:21 ipsec
14[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID
Авг 17 11:39:21 ipsec
14[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Авг 17 11:39:21 ipsec
14[IKE] received XAuth vendor ID
Авг 17 11:39:21 ipsec
14[IKE] received Cisco Unity vendor ID
Авг 17 11:39:21 ipsec
14[IKE] received FRAGMENTATION vendor ID
Авг 17 11:39:21 ipsec
14[IKE] received DPD vendor ID
Авг 17 11:39:21 ipsec
14[IKE] 91.193.1.1 is initiating a Main Mode IKE_SA
Авг 17 11:39:21 ipsec
14[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:AES_CBC=256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_2048, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1536, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1536, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024
Авг 17 11:39:21 ipsec
14[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
Авг 17 11:39:21 ipsec
14[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Авг 17 11:39:21 ipsec
14[IKE] sending XAuth vendor ID
Авг 17 11:39:21 ipsec
14[IKE] sending DPD vendor ID
Авг 17 11:39:21 ipsec
14[IKE] sending FRAGMENTATION vendor ID
Авг 17 11:39:21 ipsec
14[IKE] sending NAT-T (RFC 3947) vendor ID
Авг 17 11:39:21 ipsec
11[IKE] local host is behind NAT, sending keep alives
Авг 17 11:39:21 ipsec
11[IKE] remote host is behind NAT
Авг 17 11:39:21 ipsec
11[IKE] linked key for crypto map '(unnamed)' is not found, still searching
Авг 17 11:39:21 ipsec
12[CFG] looking for XAuthInitPSK peer configs matching 10.254.234.23...91.193.1.1[10.75.134.170]
Авг 17 11:39:21 ipsec
12[CFG] selected peer config "VirtualIPServer"
Авг 17 11:39:21 ipsec
04[IKE] EAP-MS-CHAPv2 succeeded: 'Welcome2strongSwan'
Авг 17 11:39:21 ipsec
04[IKE] XAuth authentication of 'marwin' successful
Авг 17 11:39:22 ipsec
15[IKE] IKE_SA VirtualIPServer[5] established between 10.254.234.23[mykeenetic.net]...91.193.1.1[10.75.134.170]
Авг 17 11:39:22 ipsec
06[IKE] peer requested virtual IP %any
Авг 17 11:39:22 ndm
Core::Server: started Session /var/run/ndm.core.socket.
Авг 17 11:39:22 ndm
IpSec::CryptoMapInfo: "VirtualIPServer": allocated address "172.20.0.1" for user "marwin" @ "10.75.134.170" from "91.193.1.1".
Авг 17 11:39:22 ndm
Core::Session: client disconnected.
Авг 17 11:39:22 ipsec
06[IKE] assigning virtual IP 172.20.0.1 to peer 'marwin'
Авг 17 11:39:22 ipsec
06[CFG] scheduling RADIUS Interim-Updates every 5s
Авг 17 11:39:22 ipsec
08[CFG] received proposals: ESP:AES_CBC=256/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_MD5_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_MD5_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/NO_EXT_SEQ
Авг 17 11:39:22 ipsec
08[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ
Авг 17 11:39:22 ipsec
08[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ
Авг 17 11:39:22 ipsec
08[IKE] received 3600s lifetime, configured 0s
Авг 17 11:39:22 ipsec
07[IKE] CHILD_SA VirtualIPServer{5} established with SPIs cf0cb6af_i 026b091b_o and TS 0.0.0.0/0 === 172.20.0.1/32
Авг 17 11:39:22 ndm
IpSec::CryptoMapInfo: "VirtualIPServer": crypto map is up: remote client "marwin" @ "10.75.134.170" with IP "172.20.0.1" connected.
Авг 17 11:39:22 ndm
IpSec::IpSecNetfilter: start reloading netfilter configuration...
Авг 17 11:39:22 ndm
IpSec::IpSecNetfilter: netfilter configuration reloading is done.

 

Edited by Marwin
  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0

Подтверждаю, бета 3,5 на kn-1010, клиент android 10

Подключение проходит, но страницы не грузятся, при откате на 3.4.12 страницы открываются.

Такая же проблема при использовании Ikev2 на android

self-тест приложил ниже постом

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0

Присоединяюсь

Такая же проблема с VPN-сервер IKEv2

Edited by Rom
  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0

Всем спасибо за репорты. Извиняюсь за задержку, будет поправлено в следующем релизе.

  • Thanks 3
  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0

@Le ecureuil
@KorDen

На 5й бете заработало, и virtualip и ikev2 сервера позволяют выйти в интернет.

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0
2 часа назад, r13 сказал:

На 5й бете заработало

Ага, заработало

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0
50 минут назад, KorDen сказал:

Ага, заработало

Братья по разуму, поясните подробнее неразумному, что это такое, для чего это можно использовать на практике? Может оно мне надо,а я и не знаю )

Share this post


Link to post
Share on other sites
  • 0
30 minutes ago, Дранкель said:

Братья по разуму, поясните подробнее неразумному, что это такое, для чего это можно использовать на практике? Может оно мне надо,а я и не знаю )

А) Для безопасного подключения к ресурсам своей домашней сети при нахождении где-то далеко от дома: в офисе, в отпуске заграницей, где угодно.

Б) Для соединения нескольких своих сетей в одну. Например у меня так соединены сети в квартире и на даче.

  • Thanks 1
  • Upvote 1

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...