#48223 – Превышено время ожидания при подключении к vpn

Bug 48223 - Превышено время ожидания при подключении к vpn

Summary: Превышено время ожидания при подключении к vpn

Status:	NEW

Alias:	None

Product:	Sisyphus
Classification:	Development
Component:	NetworkManager-strongswan (show other bugs)
Version:	unstable
Hardware:	x86_64 Linux

Importance:	P5 normal
Assignee:	Vitaly Lipatov
QA Contact:	qa-sisyphus

URL:
Keywords:

Depends on:
Blocks:

Reported:	2023-10-27 14:31 MSK by Алексей Родыгин
Modified:	2023-10-27 14:31 MSK (History)
CC List:	1 user (show)

See Also:

Attachments
Пример ошибки (37.74 KB, image/jpeg) 2023-10-27 14:31 MSK, Алексей Родыгин	no flags	Details
View All Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Алексей Родыгин 2023-10-27 14:31:37 MSK

Created attachment 14919 [details]
Пример ошибки

Стенды:
workstation-10.1-x86-64
server-10.1-x86-64
education-10.2-x86-64
Обновлённые до sisyphus

Версия пакета: NetworkManager-strongswan-1.5.2-alt1

Шаги воспроизведения:
1) Настроить сервер:
Сгеренировать сертификаты:

# cd /etc/strongswan/ipsec.d

# ipsec pki --gen --type rsa --size 4096 --outform pem > private/strongswanKey.pem

# ipsec pki --self --ca --lifetime 3650 --outform pem --in private/strongswanKey.pem --type rsa --dn "C=CH, O=strongSwan, CN=strongSwan Root CA" > cacerts/strongswanCert.pem

# ipsec pki --gen --type rsa --size 2048 --outform pem > private/vpnHostKey.pem

# ipsec pki --pub --in private/vpnHostKey.pem --type rsa | ipsec pki --issue --lifetime 730 --outform pem --cacert cacerts/strongswanCert.pem --cakey private/strongswanKey.pem --dn "C=CH, O=strongSwan, CN=svpn.test.dom" --san svpn.test.dom --flag serverAuth --flag ikeIntermediate > certs/vpnHostCert.pem

# ipsec pki --gen --type rsa --size 2048 --outform pem > private/ClientKey.pem

# ipsec pki --pub --in private/ClientKey.pem --type rsa | ipsec pki --issue --lifetime 730 --outform pem --cacert cacerts/strongswanCert.pem --cakey private/strongswanKey.pem --dn "C=CH, O=strongSwan, CN=myself@test.dom" --san myself@test.dom > certs/ClientCert.pem

# openssl pkcs12 -export -name "My own VPN client certificate" -inkey private/ClientKey.pem -in certs/ClientCert.pem -certfile cacerts/strongswanCert.pem -caname "strongSwan Root CA" -out Client.p12 -passout pass:12345678


Настройка:

# cat > /etc/strongswan/ipsec.conf <<EOF

config setup
  charondebug="cfg 2, dmn 2, ike 2, net 2"
conn %default
  keyexchange=ikev2
  ike=aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp4096,aes256-sha256-modp4096,aes256-sha1-modp4096,aes128-sha256-modp1536,aes128-sha1-modp1536,aes256-sha384-modp2048,aes256-sha256-modp2048,aes256-sha1-modp2048,aes128-sha256-modp1024,aes128-sha1-modp1024,aes256-sha384-modp1536,aes256-sha256-modp1536,aes256-sha1-modp1536,aes256-sha384-modp1024,aes256-sha256-modp1024,aes256-sha1-modp1024!
  phase2alg=aes128gcm16-ecp256,aes256gcm16-ecp384,aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp4096,aes256-sha256-modp4096,aes256-sha1-modp4096,aes128-sha256-modp1536,aes128-sha1-modp1536,aes256-sha384-modp2048,aes256-sha256-modp2048,aes256-sha1-modp2048,aes128-sha256-modp1024,aes128-sha1-modp1024,aes256-sha384-modp1536,aes256-sha256-modp1536,aes256-sha1-modp1536,aes256-sha384-modp1024,aes256-sha256-modp1024,aes256-sha1-modp1024,aes128gcm16,aes256gcm16,aes128-sha256,aes128-sha1,aes256-sha384,aes256-sha256,aes256-sha1!
  dpdaction=clear
  dpddelay=300s
  rekey=no
  left=%any
  leftsubnet=0.0.0.0/0
  leftcert=vpnHostCert.pem
  right=%any
  rightdns=8.8.8.8,8.8.4.4
  rightsourceip=%dhcp
  rightsubnet=0.0.0.0/0
conn IPSec-IKEv2
  keyexchange=ikev2
  auto=add
conn IPSec-IKEv2-EAP
  also="IPSec-IKEv2"
  rightauth=eap-mschapv2
  rightsendcert=never
  eap_identity=%any
conn CiscoIPSec
  keyexchange=ikev1
  rightauth=pubkey
  rightauth2=xauth
  auto=add

EOF

# echo ": RSA vpnHostKey.pem" >>/etc/strongswan/ipsec.secrets

# cat > /etc/sysctl.d/10-net-forward.conf <<EOF

net.ipv4.ip_forward = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0

EOF


Запуск:
systemctl enable --now ipsec


2) Перебросить на клиента следующие файлы:

/etc/strongswan/ipsec.d/private/ClientKey.pem (личный ключ)
/etc/strongswan/ipsec.d/certs/ClientCert.pem (сертификат в проверке подлинности)
/etc/strongswan/ipsec.d/certs/vpnHostCert.pem (сертификат в шлюзе)

3) Добавить новое соединение VPN на клиенте (strongswan)
Указать:
    Шлюз (ip сервера)
    Сертификат в разделе Шлюз vpnHostCert.pem
    Сертификат в разделе Проверка подлинности ClientCert.pem
    Личный ключ в разделе Проверка подлинности ClientKey.pem
    Пароль личного ключа 12345678
4) Подключиться

Ожидаемый результат:
Соединение с vpn успешно установлено.

Результат:
Превышение времени ожидания, соединение не установлено.

Дополнительно:
При аналогичной настройке на kde системах соединение устанавливается нормально.
На kde дополнительно устанавливается пакет plasma5-nm-connect-strongswan, возможно из-за этого подключение происходит корректно.