Created attachment 14919 [details] Пример ошибки Стенды: workstation-10.1-x86-64 server-10.1-x86-64 education-10.2-x86-64 Обновлённые до sisyphus Версия пакета: NetworkManager-strongswan-1.5.2-alt1 Шаги воспроизведения: 1) Настроить сервер: Сгеренировать сертификаты: # cd /etc/strongswan/ipsec.d # ipsec pki --gen --type rsa --size 4096 --outform pem > private/strongswanKey.pem # ipsec pki --self --ca --lifetime 3650 --outform pem --in private/strongswanKey.pem --type rsa --dn "C=CH, O=strongSwan, CN=strongSwan Root CA" > cacerts/strongswanCert.pem # ipsec pki --gen --type rsa --size 2048 --outform pem > private/vpnHostKey.pem # ipsec pki --pub --in private/vpnHostKey.pem --type rsa | ipsec pki --issue --lifetime 730 --outform pem --cacert cacerts/strongswanCert.pem --cakey private/strongswanKey.pem --dn "C=CH, O=strongSwan, CN=svpn.test.dom" --san svpn.test.dom --flag serverAuth --flag ikeIntermediate > certs/vpnHostCert.pem # ipsec pki --gen --type rsa --size 2048 --outform pem > private/ClientKey.pem # ipsec pki --pub --in private/ClientKey.pem --type rsa | ipsec pki --issue --lifetime 730 --outform pem --cacert cacerts/strongswanCert.pem --cakey private/strongswanKey.pem --dn "C=CH, O=strongSwan, CN=myself@test.dom" --san myself@test.dom > certs/ClientCert.pem # openssl pkcs12 -export -name "My own VPN client certificate" -inkey private/ClientKey.pem -in certs/ClientCert.pem -certfile cacerts/strongswanCert.pem -caname "strongSwan Root CA" -out Client.p12 -passout pass:12345678 Настройка: # cat > /etc/strongswan/ipsec.conf <<EOF config setup charondebug="cfg 2, dmn 2, ike 2, net 2" conn %default keyexchange=ikev2 ike=aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp4096,aes256-sha256-modp4096,aes256-sha1-modp4096,aes128-sha256-modp1536,aes128-sha1-modp1536,aes256-sha384-modp2048,aes256-sha256-modp2048,aes256-sha1-modp2048,aes128-sha256-modp1024,aes128-sha1-modp1024,aes256-sha384-modp1536,aes256-sha256-modp1536,aes256-sha1-modp1536,aes256-sha384-modp1024,aes256-sha256-modp1024,aes256-sha1-modp1024! phase2alg=aes128gcm16-ecp256,aes256gcm16-ecp384,aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp4096,aes256-sha256-modp4096,aes256-sha1-modp4096,aes128-sha256-modp1536,aes128-sha1-modp1536,aes256-sha384-modp2048,aes256-sha256-modp2048,aes256-sha1-modp2048,aes128-sha256-modp1024,aes128-sha1-modp1024,aes256-sha384-modp1536,aes256-sha256-modp1536,aes256-sha1-modp1536,aes256-sha384-modp1024,aes256-sha256-modp1024,aes256-sha1-modp1024,aes128gcm16,aes256gcm16,aes128-sha256,aes128-sha1,aes256-sha384,aes256-sha256,aes256-sha1! dpdaction=clear dpddelay=300s rekey=no left=%any leftsubnet=0.0.0.0/0 leftcert=vpnHostCert.pem right=%any rightdns=8.8.8.8,8.8.4.4 rightsourceip=%dhcp rightsubnet=0.0.0.0/0 conn IPSec-IKEv2 keyexchange=ikev2 auto=add conn IPSec-IKEv2-EAP also="IPSec-IKEv2" rightauth=eap-mschapv2 rightsendcert=never eap_identity=%any conn CiscoIPSec keyexchange=ikev1 rightauth=pubkey rightauth2=xauth auto=add EOF # echo ": RSA vpnHostKey.pem" >>/etc/strongswan/ipsec.secrets # cat > /etc/sysctl.d/10-net-forward.conf <<EOF net.ipv4.ip_forward = 1 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0 EOF Запуск: systemctl enable --now ipsec 2) Перебросить на клиента следующие файлы: /etc/strongswan/ipsec.d/private/ClientKey.pem (личный ключ) /etc/strongswan/ipsec.d/certs/ClientCert.pem (сертификат в проверке подлинности) /etc/strongswan/ipsec.d/certs/vpnHostCert.pem (сертификат в шлюзе) 3) Добавить новое соединение VPN на клиенте (strongswan) Указать: Шлюз (ip сервера) Сертификат в разделе Шлюз vpnHostCert.pem Сертификат в разделе Проверка подлинности ClientCert.pem Личный ключ в разделе Проверка подлинности ClientKey.pem Пароль личного ключа 12345678 4) Подключиться Ожидаемый результат: Соединение с vpn успешно установлено. Результат: Превышение времени ожидания, соединение не установлено. Дополнительно: При аналогичной настройке на kde системах соединение устанавливается нормально. На kde дополнительно устанавливается пакет plasma5-nm-connect-strongswan, возможно из-за этого подключение происходит корректно.