Bug 42100 - IPsec/IKEv2 (strongswan)
Summary: IPsec/IKEv2 (strongswan)
Status: CLOSED WORKSFORME
Alias: None
Product: Branch p10
Classification: Unclassified
Component: NetworkManager-strongswan-gnome (show other bugs)
Version: не указана
Hardware: x86_64 Linux
: P5 major
Assignee: qa-team@altlinux.org
QA Contact: qa-p10@altlinux.org
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2022-03-11 09:08 MSK by Aleksandr Shamaraev
Modified: 2023-01-09 08:53 MSK (History)
3 users (show)

See Also:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Aleksandr Shamaraev 2022-03-11 09:08:58 MSK
Всем добра.
Устанавливаю NetworkManager-strongswan-gnome, в NetworkManager в разделе vpn появляется поддержка IPsec/IKEv2 (strongswan) , ок при создаю соединение, при попытке соединения к vpn пишет сбой соединения. На той стороне установлен Айдеко, закрыто к vpn все кроме вышеназванного.

В консоли пишет

user@pc ~ $ nmcli connection up ikev2
Ошибка: сбой активации подключения: Неизвестная причина
Подсказка: для получения дополнительных сведений используйте «journalctl -xe NM_CONNECTION=  ... + NM_DEVICE=wlp2s0»

В журнале написано..
Saw the service appear; activating connection
VPN connection: (ConnectInteractive) reply received
VPN plugin: state changed: starting (3)
VPN plugin: failed: connect-failed (1)
VPN plugin: failed: connect-failed (1)
VPN plugin: state changed: stopping (5)
VPN plugin: state changed: stopped (6)
VPN plugin: failed: login-failed (0)

делаю
journalctl -u NetworkManager

получаю 
мар 11 16:54:11 alt-pc NetworkManager[2497]: <info>  [1646978051.0083] vpn-connection[0x559f2008a130,7e52f7a8-ee12-4bdd-aa7d-6192cd1ae9c7,"имя соединения",0]: VPN connection: (ConnectIntera>
мар 11 16:54:11 alt-pc charon-nm[8039]: 05[CFG] received initiate for NetworkManager connection имя соединения
мар 11 16:54:11 alt-pc charon-nm[8039]: 05[CFG] using gateway identity 'адрес'
мар 11 16:54:11 alt-pc charon-nm[8039]: 05[IKE] initiating IKE_SA имя соединения[1] to ип
мар 11 16:54:11 alt-pc charon-nm[8039]: 05[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
мар 11 16:54:11 alt-pc charon-nm[8039]: 05[NET] sending packet: from ип[порт] to ип[порт] (336 bytes)
мар 11 16:54:11 alt-pc NetworkManager[2497]: <info>  [1646978051.2492] vpn-connection[0x559f2008a130,7e52f7a8-ee12-4bdd-aa7d-6192cd1ae9c7,"имя соединения",0]: VPN plugin: state changed: sta>
мар 11 16:54:11 alt-pc charon-nm[8039]: 07[NET] received packet: from ип[порт] to ип[порт] (3329 bytes)
мар 11 16:54:11 alt-pc charon-nm[8039]: 07[ENC] parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(HASH_ALG) N(CHDLESS_SUP) N(MULT_AUTH) ]
мар 11 16:54:11 alt-pc charon-nm[8039]: 07[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024
мар 11 16:54:11 alt-pc charon-nm[8039]: 07[IKE] local host is behind NAT, sending keep alives
мар 11 16:54:11 alt-pc charon-nm[8039]: 07[IKE] received cert request for "CN=ACCVRAIZ1, OU=PKIACCV, O=ACCV, C=ES"
мар 11 16:54:11 alt-pc charon-nm[8039]: 07[IKE] received 148 cert requests for an unknown ca
мар 11 16:54:11 alt-pc charon-nm[8039]: 07[IKE] sending cert request for "CN=ACCVRAIZ1, OU=PKIACCV, O=ACCV, C=ES"
мар 11 16:54:11 alt-pc charon-nm[8039]: 07[IKE] establishing CHILD_SA имя соединения{1}
мар 11 16:54:11 alt-pc charon-nm[8039]: 07[ENC] generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) CERTREQ CPRQ(ADDR ADDR6 DNS NBNS DNS6) N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD>
мар 11 16:54:11 alt-pc charon-nm[8039]: 07[NET] sending packet: from ип[порт] to ип[порт] (480 bytes)
мар 11 16:54:11 alt-pc charon-nm[8039]: 10[NET] received packet: from ип[порт] to ип[порт] (1236 bytes)
мар 11 16:54:11 alt-pc charon-nm[8039]: 10[ENC] parsed IKE_AUTH response 1 [ EF(1/2) ]
мар 11 16:54:11 alt-pc charon-nm[8039]: 10[ENC] received fragment #1 of 2, waiting for complete IKE message
мар 11 16:54:11 alt-pc NetworkManager[2497]: <warn>  [1646978051.3228] vpn-connection[0x559f2008a130,7e52f7a8-ee12-4bdd-aa7d-6192cd1ae9c7,"имя соединения",0]: VPN plugin: failed: connect-fa>
мар 11 16:54:11 alt-pc charon-nm[8039]: 09[NET] received packet: from ип[порт] to ип[порт] (1060 bytes)
мар 11 16:54:11 alt-pc NetworkManager[2497]: <warn>  [1646978051.3229] vpn-connection[0x559f2008a130,7e52f7a8-ee12-4bdd-aa7d-6192cd1ae9c7,"имя соединения",0]: VPN plugin: failed: connect-fa>
мар 11 16:54:11 alt-pc charon-nm[8039]: 09[ENC] parsed IKE_AUTH response 1 [ EF(2/2) ]
мар 11 16:54:11 alt-pc NetworkManager[2497]: <info>  [1646978051.3229] vpn-connection[0x559f2008a130,7e52f7a8-ee12-4bdd-aa7d-6192cd1ae9c7,"имя соединения",0]: VPN plugin: state changed: sto>
мар 11 16:54:11 alt-pc charon-nm[8039]: 09[ENC] received fragment #2 of 2, reassembled fragmented IKE message (2224 bytes)
мар 11 16:54:11 alt-pc NetworkManager[2497]: <info>  [1646978051.3231] vpn-connection[0x559f2008a130,7e52f7a8-ee12-4bdd-aa7d-6192cd1ae9c7,"имя соединения",0]: VPN plugin: state changed: sto>
мар 11 16:54:11 alt-pc charon-nm[8039]: 09[ENC] parsed IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
мар 11 16:54:11 alt-pc NetworkManager[2497]: <warn>  [1646978051.3241] vpn-connection[0x559f2008a130,7e52f7a8-ee12-4bdd-aa7d-6192cd1ae9c7,"имя соединения",0]: VPN plugin: failed: login-fail>
мар 11 16:54:11 alt-pc charon-nm[8039]: 09[IKE] received end entity cert "CN=адрес"
мар 11 16:54:11 alt-pc charon-nm[8039]: 09[CFG]   using certificate "CN=адрес"
мар 11 16:54:11 alt-pc charon-nm[8039]: 09[CFG] no issuer certificate found for "CN=адрес"
мар 11 16:54:11 alt-pc charon-nm[8039]: 09[CFG]   issuer is "C=US, O=Let's Encrypt, CN=R3"
мар 11 16:54:11 alt-pc charon-nm[8039]: 09[IKE] no trusted RSA public key found for 'адрес'
мар 11 16:54:11 alt-pc charon-nm[8039]: 09[ENC] generating INFORMATIONAL request 2 [ N(AUTH_FAILED) ]
мар 11 16:54:11 alt-pc charon-nm[8039]: 09[NET] sending packet: from ип[порт] to ип[порт] (80 bytes)
мар 11 16:57:11 alt-pc charon-nm[8039]: 00[DMN] SIGTERM received, shutting down

Насколько я понимаю какой-то глюк с доверием к сертификату.
Comment 1 Mikhail Efremov 2022-08-12 16:05:16 MSK
В составе ALT Workstation нет NetworkManager-strongswan-gnome.
Comment 2 woolf 2022-10-26 14:09:55 MSK
У нас та же ошибка.
в 10 альте есть NetworkManager-strongswan-gnome, но он мало помогает.
Comment 3 Evgeny Shesteperov 2022-10-27 15:24:27 MSK
Добрый день!

Пожалуйста, дополнительно предоставьте следующую информацию:

1. Операционная система, версия, на которой воспроизвелась ошибка.
2. Выводы следующих команд:

	$ uname -a
	$ cat /etc/os-release
	$ apt-repo

3. Версию приложения NetworkManager-strongswan-gnome:

	$ rpm -qi NetworkManager-strongswan-gnome
Comment 4 woolf 2022-10-28 08:56:36 MSK
Добрый день.

Дополнительная информация:

1) uname -a

Linux covid-6 5.10.82-std-def-alt1 #1 SMP Fri Dec 3 14:49:25 UTC 2021 x86_64 GNU/Linux

2) cat /etc/os-release

NAME="ALT Workstation"
VERSION="10.1"
ID=altlinux
VERSION_ID=10.1
PRETTY_NAME="ALT Workstation 10.1 (Autolycus)"
ANSI_COLOR="1;33"
CPE_NAME="cpe:/o:alt:workstation:10.1"
BUILD_ID="ALT Workstation 10.0"
HOME_URL="https://basealt.ru/"
BUG_REPORT_URL="https://bugs.altlinux.org/"

3) apt-repo

rpm [p10] http://mirror.yandex.ru/altlinux p10/branch/x86_64 classic
rpm [p10] http://mirror.yandex.ru/altlinux p10/branch/x86_64-i586 classic
rpm [p10] http://mirror.yandex.ru/altlinux p10/branch/noarch classic

4) rpm -qi NetworkManager-strongswan-gnome

Name        : NetworkManager-strongswan-gnome
Version     : 1.5.0
Release     : alt1
DistTag     : sisyphus+254643.40.2.1
Architecture: x86_64
Install Date: Чт 20 окт 2022 15:45:55
Group       : System/Servers
Size        : 86947
License     : GPLv2+
Signature   : DSA/SHA1, Ср 08 июл 2020 00:12:45, Key ID 95c584d5ae4ae412
Source RPM  : NetworkManager-strongswan-1.5.0-alt1.src.rpm
Build Date  : Ср 08 июл 2020 00:12:44
Build Host  : lav-sisyphus.hasher.altlinux.org
Relocations : (not relocatable)
Packager    : Vitaly Lipatov <lav@altlinux.ru>
Vendor      : ALT Linux Team
URL         : https://www.strongswan.org/
Summary     : NetworkManager VPN plugin for strongswan - GNOME files
Description :
This package contains software for integrating the strongSwan IPSec VPN
with the graphical desktop.
Comment 5 Evgeny Shesteperov 2022-10-28 12:09:08 MSK
(Ответ для woolf на комментарий #4)
> Дополнительная информация:

Попытаюсь воспроизвести со strongswan.
Comment 6 Evgeny Shesteperov 2022-12-07 12:28:17 MSK
Добрый день!

Проверил настройку со StrongSwan в вариантах:

- IPsec/IKEv2 cert-based through EAP.
- IPsec/IKEv2 password-based through EAP.

Проблем с подключением к серверу не обнаружил.

Стенд
=====

Сервер:

- ALT Server 10.0 P10

Клиенты:

- ALT Workstation 10.0 P10
- ALT KWorkstation 10.1 P10

Дополнительно
=============

Пожалуйста, предоставьте следующую информацию:

1. При подключении к серверу VPN выставлена ли опция "Request an inner IP address"? К примеру, на ALT KWorkstation данная опция включена по умолчанию.
2. Попробуйте также подключение через charon-cmd (утилита в пакете strongswan-charon-nm, выполнять от суперпользователя). Пожалуйста, предоставьте Ваш вариант подключения через данную команду и вывод команды.
3. Предоставьте Ваш вариант конфигурации StrongSwan, если есть возможность.

Уверен, данная информация может помочь.
Comment 7 Aleksandr Shamaraev 2022-12-08 02:36:09 MSK
Доброго времени суток!

По поводу подключений, что лично я понимаю из логов.
Он видит, что у нас свой сервер, в процессе берет сертификат нашего сервера... не может подтвердить что он доверенный.. и сбрасывает. дек 08 10:25:03 alt-pc NetworkManager[2322]: <info>  [1670455503.2704] agent-manager: agent[f0cb66d6163095c1,:1.110/nmcli-connect/500]: agent registered
дек 08 10:25:03 alt-pc NetworkManager[2322]: <info>  [1670455503.2749] audit: op="connection-activate" uuid="12af3580-3034-4047-9245-de252264228d" name="ikev2" pid=12289 uid=500 result="success"
дек 08 10:25:03 alt-pc NetworkManager[2322]: <info>  [1670455503.2810] vpn-connection[0x55b6a01d6300,12af3580-3034-4047-9245-de252264228d,"ikev2",0]: Started the VPN service, PID 12295
дек 08 10:25:03 alt-pc charon-nm[12295]: 00[DMN] Starting charon NetworkManager backend (strongSwan 5.9.8)
дек 08 10:25:03 alt-pc charon-nm[12295]: 00[LIB] created TUN device: tun0
дек 08 10:25:03 alt-pc NetworkManager[2322]: <info>  [1670455503.3136] manager: (tun0): new Tun device (/org/freedesktop/NetworkManager/Devices/4)
дек 08 10:25:03 alt-pc NetworkManager[2322]: <info>  [1670455503.3220] vpn-connection[0x55b6a01d6300,12af3580-3034-4047-9245-de252264228d,"ikev2",0]: Saw the service appear; activating connection
дек 08 10:25:03 alt-pc charon-nm[12295]: 00[LIB] loaded plugins: nm-backend charon-nm ldap pkcs11 aes des rc2 sha2 sha1 md5 mgf1 random nonce x509 revocation constraints pkcs1 pkcs7 sshkey pem openssl pkcs8 fips-prf gmp curve25519 agent xcbc cmac hmac kdf ctr ccm gcm ntru drbg curl kernel-pfkey kernel-netlink socket-default eap-identity eap-md5 eap-gtc eap-mschapv2 eap-tls eap-ttls
дек 08 10:25:03 alt-pc charon-nm[12295]: 00[LIB] dropped capabilities, running as uid 0, gid 0
дек 08 10:25:03 alt-pc charon-nm[12295]: 00[JOB] spawning 16 worker threads
дек 08 10:25:03 alt-pc NetworkManager[2322]: <info>  [1670455503.4442] vpn-connection[0x55b6a01d6300,12af3580-3034-4047-9245-de252264228d,"ikev2",0]: VPN connection: (ConnectInteractive) reply received
дек 08 10:25:03 alt-pc charon-nm[12295]: 11[CFG] received initiate for NetworkManager connection ikev2
дек 08 10:25:03 alt-pc charon-nm[12295]: 11[CFG] using gateway identity 'АДРЕС'
дек 08 10:25:03 alt-pc charon-nm[12295]: 11[IKE] initiating IKE_SA ikev2[1] to ипАДРЕС
дек 08 10:25:03 alt-pc charon-nm[12295]: 11[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
дек 08 10:25:03 alt-pc charon-nm[12295]: 11[NET] sending packet: from ИПАДРЕС[47438] to АДРЕС[500] (1096 bytes)
дек 08 10:25:03 alt-pc NetworkManager[2322]: <info>  [1670455503.4807] vpn-connection[0x55b6a01d6300,12af3580-3034-4047-9245-de252264228d,"ikev2",0]: VPN plugin: state changed: starting (3)
дек 08 10:25:03 alt-pc charon-nm[12295]: 07[NET] received packet: from ИПАДРЕС[500] to ИПАДРЕС[47438] (3265 bytes)
дек 08 10:25:03 alt-pc charon-nm[12295]: 07[ENC] parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(HASH_ALG) N(CHDLESS_SUP) N(MULT_AUTH) ]
дек 08 10:25:03 alt-pc charon-nm[12295]: 07[CFG] selected proposal: IKE:AES_GCM_16_256/PRF_AES128_XCBC/CURVE_25519
дек 08 10:25:03 alt-pc charon-nm[12295]: 07[IKE] local host is behind NAT, sending keep alives
дек 08 10:25:03 alt-pc charon-nm[12295]: 07[IKE] received cert request for "CN=ACCVRAIZ1, OU=PKIACCV, O=ACCV, C=ES"
дек 08 10:25:03 alt-pc charon-nm[12295]: 07[IKE] received 150 cert requests for an unknown ca
дек 08 10:25:03 alt-pc charon-nm[12295]: 07[IKE] sending cert request for "CN=ACCVRAIZ1, OU=PKIACCV, O=ACCV, C=ES"
дек 08 10:25:03 alt-pc charon-nm[12295]: 07[IKE] establishing CHILD_SA ikev2{1}
дек 08 10:25:03 alt-pc charon-nm[12295]: 07[ENC] generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) CERTREQ CPRQ(ADDR ADDR6 DNS NBNS DNS6) N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
дек 08 10:25:03 alt-pc charon-nm[12295]: 07[NET] sending packet: from ИПАДРЕС[34873] to ИПАДРЕС[4500] (467 bytes)
дек 08 10:25:03 alt-pc charon-nm[12295]: 06[NET] received packet: from ИПАДРЕС[4500] to ИПАДРЕС[34873] (1248 bytes)
дек 08 10:25:03 alt-pc charon-nm[12295]: 06[ENC] parsed IKE_AUTH response 1 [ EF(1/2) ]
дек 08 10:25:03 alt-pc charon-nm[12295]: 06[ENC] received fragment #1 of 2, waiting for complete IKE message
дек 08 10:25:03 alt-pc charon-nm[12295]: 08[NET] received packet: from ИПАДРЕС[4500] to ИПАДРЕС[34873] (517 bytes)
дек 08 10:25:03 alt-pc charon-nm[12295]: 08[ENC] parsed IKE_AUTH response 1 [ EF(2/2) ]
дек 08 10:25:03 alt-pc charon-nm[12295]: 08[ENC] received fragment #2 of 2, reassembled fragmented IKE message (1700 bytes)
дек 08 10:25:03 alt-pc charon-nm[12295]: 08[ENC] parsed IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
дек 08 10:25:03 alt-pc charon-nm[12295]: 08[IKE] received end entity cert "CN=АДРЕС"
дек 08 10:25:03 alt-pc charon-nm[12295]: 08[CFG]   using certificate "CN=АДРЕС"
дек 08 10:25:03 alt-pc charon-nm[12295]: 08[CFG] no issuer certificate found for "CN=АДРЕС"
дек 08 10:25:03 alt-pc NetworkManager[2322]: <warn>  [1670455503.5616] vpn-connection[0x55b6a01d6300,12af3580-3034-4047-9245-de252264228d,"ikev2",0]: VPN plugin: failed: connect-failed (1)
дек 08 10:25:03 alt-pc charon-nm[12295]: 08[CFG]   issuer is "C=US, O=Let's Encrypt, CN=R3"
дек 08 10:25:03 alt-pc NetworkManager[2322]: <warn>  [1670455503.5617] vpn-connection[0x55b6a01d6300,12af3580-3034-4047-9245-de252264228d,"ikev2",0]: VPN plugin: failed: connect-failed (1)
дек 08 10:25:03 alt-pc charon-nm[12295]: 08[IKE] no trusted RSA public key found for 'АДРЕС'
дек 08 10:25:03 alt-pc NetworkManager[2322]: <info>  [1670455503.5619] vpn-connection[0x55b6a01d6300,12af3580-3034-4047-9245-de252264228d,"ikev2",0]: VPN plugin: state changed: stopping (5)
дек 08 10:25:03 alt-pc charon-nm[12295]: 08[ENC] generating INFORMATIONAL request 2 [ N(AUTH_FAILED) ]
дек 08 10:25:03 alt-pc NetworkManager[2322]: <info>  [1670455503.5621] vpn-connection[0x55b6a01d6300,12af3580-3034-4047-9245-de252264228d,"ikev2",0]: VPN plugin: state changed: stopped (6)
дек 08 10:25:03 alt-pc charon-nm[12295]: 08[NET] sending packet: from ИПАДРЕС[34873] to ИПАДРЕС[4500] (65 bytes)
дек 08 10:25:03 alt-pc NetworkManager[2322]: <warn>  [1670455503.5627] vpn-connection[0x55b6a01d6300,12af3580-3034-4047-9245-de252264228d,"ikev2",0]: VPN plugin: failed: login-failed (0)
Comment 8 Aleksandr Shamaraev 2022-12-08 02:37:57 MSK
 no trusted RSA public key found for 'АДРЕС'
Comment 9 Evgeny Shesteperov 2022-12-08 10:26:24 MSK
(Ответ для gttn на комментарий #8)
>  no trusted RSA public key found for 'АДРЕС'

Эта информация была представлена ранее, в описании баги, но её недостаточно, чтобы воспроизвести ошибку и воссоздать похожий стенд.

Ответьте, пожалуйста, на вопросы из комментарий #6.
Comment 10 Aleksandr Shamaraev 2022-12-12 02:16:39 MSK
(Ответ для Evgeny Shesteperov на комментарий #6)
> Пожалуйста, предоставьте следующую информацию:
> 
> 1. При подключении к серверу VPN выставлена ли опция "Request an inner IP
> address"? К примеру, на ALT KWorkstation данная опция включена по умолчанию.
> 2. Попробуйте также подключение через charon-cmd (утилита в пакете
> strongswan-charon-nm, выполнять от суперпользователя). Пожалуйста,
> предоставьте Ваш вариант подключения через данную команду и вывод команды.
> 3. Предоставьте Ваш вариант конфигурации StrongSwan, если есть возможность.


1. Да, галочка установлена

2. 
[root@alt-pc ~]# charon-cmd --host ИПАДРЕС --identity ЛОГИН ПАРОЛЬ
00[LIB] dropped capabilities, running as uid 0, gid 0
00[DMN] Starting charon-cmd IKE client (strongSwan 5.9.8, Linux 5.15.80-un-def-alt1, x86_64)
00[LIB] loaded plugins: charon-cmd ldap pkcs11 aes des rc2 sha2 sha1 md5 mgf1 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs12 sshkey pem openssl pkcs8 fips-prf gmp curve25519 agent xcbc cmac hmac kdf ctr ccm gcm ntru drbg curl kernel-pfkey kernel-netlink resolve socket-default eap-identity eap-md5 eap-gtc eap-mschapv2 eap-tls eap-ttls xauth-generic
00[JOB] spawning 16 worker threads
06[IKE] initiating IKE_SA cmd[1] to ИПАДРЕС
06[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
06[NET] sending packet: from ИПАДРЕС[50433] to ИПАДРЕС[4500] (1096 bytes)
07[NET] received packet: from ИПАДРЕС[4500] to ИПАДРЕС[50433] (3265 bytes)
07[ENC] parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(HASH_ALG) N(CHDLESS_SUP) N(MULT_AUTH) ]
07[CFG] selected proposal: IKE:AES_GCM_16_256/PRF_AES128_XCBC/CURVE_25519
07[IKE] local host is behind NAT, sending keep alives
07[IKE] received 151 cert requests for an unknown ca
07[IKE] establishing CHILD_SA cmd{1}
07[ENC] generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) CPRQ(ADDR DNS) N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
07[NET] sending packet: from ИПАДРЕС[36534] to ИПАДРЕС[4500] (350 bytes)
08[NET] received packet: from ИПАДРЕС[4500] to ИПАДРЕС[36534] (1248 bytes)
08[ENC] parsed IKE_AUTH response 1 [ EF(1/4) ]
08[ENC] received fragment #1 of 4, waiting for complete IKE message
09[NET] received packet: from ИПАДРЕС[4500] to ИПАДРЕС[36534] (1248 bytes)
09[ENC] parsed IKE_AUTH response 1 [ EF(3/4) ]
09[ENC] received fragment #3 of 4, waiting for complete IKE message
11[NET] received packet: from ИПАДРЕС[4500] to ИПАДРЕС[36534] (1248 bytes)
11[ENC] parsed IKE_AUTH response 1 [ EF(2/4) ]
11[ENC] received fragment #2 of 4, waiting for complete IKE message
10[NET] received packet: from ИПАДРЕС[4500] to ИПАДРЕС[36534] (839 bytes)
10[ENC] parsed IKE_AUTH response 1 [ EF(4/4) ]
10[ENC] received fragment #4 of 4, reassembled fragmented IKE message (4396 bytes)
10[ENC] parsed IKE_AUTH response 1 [ IDr CERT CERT CERT AUTH EAP/REQ/ID ]
10[IKE] received end entity cert "CN=ХОСТ"
10[IKE] received issuer cert "C=US, O=Let's Encrypt, CN=R3"
10[IKE] received issuer cert "C=US, O=Internet Security Research Group, CN=ISRG Root X1"
10[CFG]   using certificate "CN=ХОСТ"
10[CFG]   using untrusted intermediate certificate "C=US, O=Let's Encrypt, CN=R3"
10[CFG]   using untrusted intermediate certificate "C=US, O=Internet Security Research Group, CN=ISRG Root X1"
10[CFG] no issuer certificate found for "C=US, O=Internet Security Research Group, CN=ISRG Root X1"
10[CFG]   issuer is "O=Digital Signature Trust Co., CN=DST Root CA X3"
10[IKE] no trusted RSA public key found for 'ХОСТ'
10[ENC] generating INFORMATIONAL request 2 [ N(AUTH_FAILED) ]
10[NET] sending packet: from ИПАДРЕС[36534] to ИПАДРЕС[4500] (65 bytes)

3. у меня настройка в графическом
Address = ХОСТ
Authentication = EAP
UserName = имя
Password = пароль
галочка Request inner IP address
галочка Enforce UDP encapsulation
галочка Enable custom proposals 
IKE = aes256-sha256-modp1024

Я думаю проблема скорее всего в самом сертификате... просто я помню что федоре на дебиан проблем не было, а альт почему-то не хочет ему доверять... По факту сейчас цепляюсь через L2TP с включенным IPSec, стронгсвон не работает
К примеру на эволюшн, мне приходится при цеплянии к почтовому серверу (на том же адресе) нажимать принять и продолжить недоверенный сертификат.. и тогда все нормаль
Comment 11 Evgeny Shesteperov 2022-12-15 10:56:32 MSK
(Ответ для gttn на комментарий #10)
> 10[IKE] received end entity cert "CN=ХОСТ"
> 10[IKE] received issuer cert "C=US, O=Let's Encrypt, CN=R3"
> 10[IKE] received issuer cert "C=US, O=Internet Security Research Group,
> CN=ISRG Root X1"
> 10[CFG]   using certificate "CN=ХОСТ"
> 10[CFG]   using untrusted intermediate certificate "C=US, O=Let's Encrypt,
> CN=R3"
> 10[CFG]   using untrusted intermediate certificate "C=US, O=Internet
> Security Research Group, CN=ISRG Root X1"
> 10[CFG] no issuer certificate found for "C=US, O=Internet Security Research
> Group, CN=ISRG Root X1"
> 10[CFG]   issuer is "O=Digital Signature Trust Co., CN=DST Root CA X3" 

Установлен ли данный корневой сертификат в системе?

Подробнее, см. https://www.altlinux.org/Установка_корневого_сертификата

> Address = ХОСТ
> Authentication = EAP
> UserName = имя
> Password = пароль
> галочка Request inner IP address
> галочка Enforce UDP encapsulation
> галочка Enable custom proposals 
> IKE = aes256-sha256-modp1024

Вы также можете его указать через опцию Certificate в разделе Server.
Comment 12 Aleksandr Shamaraev 2023-01-09 08:53:29 MSK
(Ответ для Evgeny Shesteperov на комментарий #11)
> (Ответ для gttn на комментарий #10)
> > 10[IKE] received end entity cert "CN=ХОСТ"
> > 10[IKE] received issuer cert "C=US, O=Let's Encrypt, CN=R3"
> > 10[IKE] received issuer cert "C=US, O=Internet Security Research Group,
> > CN=ISRG Root X1"
> > 10[CFG]   using certificate "CN=ХОСТ"
> > 10[CFG]   using untrusted intermediate certificate "C=US, O=Let's Encrypt,
> > CN=R3"
> > 10[CFG]   using untrusted intermediate certificate "C=US, O=Internet
> > Security Research Group, CN=ISRG Root X1"
> > 10[CFG] no issuer certificate found for "C=US, O=Internet Security Research
> > Group, CN=ISRG Root X1"
> > 10[CFG]   issuer is "O=Digital Signature Trust Co., CN=DST Root CA X3" 
> 
> Установлен ли данный корневой сертификат в системе?
> 
> Подробнее, см. https://www.altlinux.org/Установка_корневого_сертификата
> 
> > Address = ХОСТ
> > Authentication = EAP
> > UserName = имя
> > Password = пароль
> > галочка Request inner IP address
> > галочка Enforce UDP encapsulation
> > галочка Enable custom proposals 
> > IKE = aes256-sha256-modp1024
> 
> Вы также можете его указать через опцию Certificate в разделе Server.

Попробовал, но у меня к сожалению так и не завелось.