Всем добра. Устанавливаю NetworkManager-strongswan-gnome, в NetworkManager в разделе vpn появляется поддержка IPsec/IKEv2 (strongswan) , ок при создаю соединение, при попытке соединения к vpn пишет сбой соединения. На той стороне установлен Айдеко, закрыто к vpn все кроме вышеназванного. В консоли пишет user@pc ~ $ nmcli connection up ikev2 Ошибка: сбой активации подключения: Неизвестная причина Подсказка: для получения дополнительных сведений используйте «journalctl -xe NM_CONNECTION= ... + NM_DEVICE=wlp2s0» В журнале написано.. Saw the service appear; activating connection VPN connection: (ConnectInteractive) reply received VPN plugin: state changed: starting (3) VPN plugin: failed: connect-failed (1) VPN plugin: failed: connect-failed (1) VPN plugin: state changed: stopping (5) VPN plugin: state changed: stopped (6) VPN plugin: failed: login-failed (0) делаю journalctl -u NetworkManager получаю мар 11 16:54:11 alt-pc NetworkManager[2497]: <info> [1646978051.0083] vpn-connection[0x559f2008a130,7e52f7a8-ee12-4bdd-aa7d-6192cd1ae9c7,"имя соединения",0]: VPN connection: (ConnectIntera> мар 11 16:54:11 alt-pc charon-nm[8039]: 05[CFG] received initiate for NetworkManager connection имя соединения мар 11 16:54:11 alt-pc charon-nm[8039]: 05[CFG] using gateway identity 'адрес' мар 11 16:54:11 alt-pc charon-nm[8039]: 05[IKE] initiating IKE_SA имя соединения[1] to ип мар 11 16:54:11 alt-pc charon-nm[8039]: 05[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ] мар 11 16:54:11 alt-pc charon-nm[8039]: 05[NET] sending packet: from ип[порт] to ип[порт] (336 bytes) мар 11 16:54:11 alt-pc NetworkManager[2497]: <info> [1646978051.2492] vpn-connection[0x559f2008a130,7e52f7a8-ee12-4bdd-aa7d-6192cd1ae9c7,"имя соединения",0]: VPN plugin: state changed: sta> мар 11 16:54:11 alt-pc charon-nm[8039]: 07[NET] received packet: from ип[порт] to ип[порт] (3329 bytes) мар 11 16:54:11 alt-pc charon-nm[8039]: 07[ENC] parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(HASH_ALG) N(CHDLESS_SUP) N(MULT_AUTH) ] мар 11 16:54:11 alt-pc charon-nm[8039]: 07[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024 мар 11 16:54:11 alt-pc charon-nm[8039]: 07[IKE] local host is behind NAT, sending keep alives мар 11 16:54:11 alt-pc charon-nm[8039]: 07[IKE] received cert request for "CN=ACCVRAIZ1, OU=PKIACCV, O=ACCV, C=ES" мар 11 16:54:11 alt-pc charon-nm[8039]: 07[IKE] received 148 cert requests for an unknown ca мар 11 16:54:11 alt-pc charon-nm[8039]: 07[IKE] sending cert request for "CN=ACCVRAIZ1, OU=PKIACCV, O=ACCV, C=ES" мар 11 16:54:11 alt-pc charon-nm[8039]: 07[IKE] establishing CHILD_SA имя соединения{1} мар 11 16:54:11 alt-pc charon-nm[8039]: 07[ENC] generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) CERTREQ CPRQ(ADDR ADDR6 DNS NBNS DNS6) N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD> мар 11 16:54:11 alt-pc charon-nm[8039]: 07[NET] sending packet: from ип[порт] to ип[порт] (480 bytes) мар 11 16:54:11 alt-pc charon-nm[8039]: 10[NET] received packet: from ип[порт] to ип[порт] (1236 bytes) мар 11 16:54:11 alt-pc charon-nm[8039]: 10[ENC] parsed IKE_AUTH response 1 [ EF(1/2) ] мар 11 16:54:11 alt-pc charon-nm[8039]: 10[ENC] received fragment #1 of 2, waiting for complete IKE message мар 11 16:54:11 alt-pc NetworkManager[2497]: <warn> [1646978051.3228] vpn-connection[0x559f2008a130,7e52f7a8-ee12-4bdd-aa7d-6192cd1ae9c7,"имя соединения",0]: VPN plugin: failed: connect-fa> мар 11 16:54:11 alt-pc charon-nm[8039]: 09[NET] received packet: from ип[порт] to ип[порт] (1060 bytes) мар 11 16:54:11 alt-pc NetworkManager[2497]: <warn> [1646978051.3229] vpn-connection[0x559f2008a130,7e52f7a8-ee12-4bdd-aa7d-6192cd1ae9c7,"имя соединения",0]: VPN plugin: failed: connect-fa> мар 11 16:54:11 alt-pc charon-nm[8039]: 09[ENC] parsed IKE_AUTH response 1 [ EF(2/2) ] мар 11 16:54:11 alt-pc NetworkManager[2497]: <info> [1646978051.3229] vpn-connection[0x559f2008a130,7e52f7a8-ee12-4bdd-aa7d-6192cd1ae9c7,"имя соединения",0]: VPN plugin: state changed: sto> мар 11 16:54:11 alt-pc charon-nm[8039]: 09[ENC] received fragment #2 of 2, reassembled fragmented IKE message (2224 bytes) мар 11 16:54:11 alt-pc NetworkManager[2497]: <info> [1646978051.3231] vpn-connection[0x559f2008a130,7e52f7a8-ee12-4bdd-aa7d-6192cd1ae9c7,"имя соединения",0]: VPN plugin: state changed: sto> мар 11 16:54:11 alt-pc charon-nm[8039]: 09[ENC] parsed IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ] мар 11 16:54:11 alt-pc NetworkManager[2497]: <warn> [1646978051.3241] vpn-connection[0x559f2008a130,7e52f7a8-ee12-4bdd-aa7d-6192cd1ae9c7,"имя соединения",0]: VPN plugin: failed: login-fail> мар 11 16:54:11 alt-pc charon-nm[8039]: 09[IKE] received end entity cert "CN=адрес" мар 11 16:54:11 alt-pc charon-nm[8039]: 09[CFG] using certificate "CN=адрес" мар 11 16:54:11 alt-pc charon-nm[8039]: 09[CFG] no issuer certificate found for "CN=адрес" мар 11 16:54:11 alt-pc charon-nm[8039]: 09[CFG] issuer is "C=US, O=Let's Encrypt, CN=R3" мар 11 16:54:11 alt-pc charon-nm[8039]: 09[IKE] no trusted RSA public key found for 'адрес' мар 11 16:54:11 alt-pc charon-nm[8039]: 09[ENC] generating INFORMATIONAL request 2 [ N(AUTH_FAILED) ] мар 11 16:54:11 alt-pc charon-nm[8039]: 09[NET] sending packet: from ип[порт] to ип[порт] (80 bytes) мар 11 16:57:11 alt-pc charon-nm[8039]: 00[DMN] SIGTERM received, shutting down Насколько я понимаю какой-то глюк с доверием к сертификату.
В составе ALT Workstation нет NetworkManager-strongswan-gnome.
У нас та же ошибка. в 10 альте есть NetworkManager-strongswan-gnome, но он мало помогает.
Добрый день! Пожалуйста, дополнительно предоставьте следующую информацию: 1. Операционная система, версия, на которой воспроизвелась ошибка. 2. Выводы следующих команд: $ uname -a $ cat /etc/os-release $ apt-repo 3. Версию приложения NetworkManager-strongswan-gnome: $ rpm -qi NetworkManager-strongswan-gnome
Добрый день. Дополнительная информация: 1) uname -a Linux covid-6 5.10.82-std-def-alt1 #1 SMP Fri Dec 3 14:49:25 UTC 2021 x86_64 GNU/Linux 2) cat /etc/os-release NAME="ALT Workstation" VERSION="10.1" ID=altlinux VERSION_ID=10.1 PRETTY_NAME="ALT Workstation 10.1 (Autolycus)" ANSI_COLOR="1;33" CPE_NAME="cpe:/o:alt:workstation:10.1" BUILD_ID="ALT Workstation 10.0" HOME_URL="https://basealt.ru/" BUG_REPORT_URL="https://bugs.altlinux.org/" 3) apt-repo rpm [p10] http://mirror.yandex.ru/altlinux p10/branch/x86_64 classic rpm [p10] http://mirror.yandex.ru/altlinux p10/branch/x86_64-i586 classic rpm [p10] http://mirror.yandex.ru/altlinux p10/branch/noarch classic 4) rpm -qi NetworkManager-strongswan-gnome Name : NetworkManager-strongswan-gnome Version : 1.5.0 Release : alt1 DistTag : sisyphus+254643.40.2.1 Architecture: x86_64 Install Date: Чт 20 окт 2022 15:45:55 Group : System/Servers Size : 86947 License : GPLv2+ Signature : DSA/SHA1, Ср 08 июл 2020 00:12:45, Key ID 95c584d5ae4ae412 Source RPM : NetworkManager-strongswan-1.5.0-alt1.src.rpm Build Date : Ср 08 июл 2020 00:12:44 Build Host : lav-sisyphus.hasher.altlinux.org Relocations : (not relocatable) Packager : Vitaly Lipatov <lav@altlinux.ru> Vendor : ALT Linux Team URL : https://www.strongswan.org/ Summary : NetworkManager VPN plugin for strongswan - GNOME files Description : This package contains software for integrating the strongSwan IPSec VPN with the graphical desktop.
(Ответ для woolf на комментарий #4) > Дополнительная информация: Попытаюсь воспроизвести со strongswan.
Добрый день! Проверил настройку со StrongSwan в вариантах: - IPsec/IKEv2 cert-based through EAP. - IPsec/IKEv2 password-based through EAP. Проблем с подключением к серверу не обнаружил. Стенд ===== Сервер: - ALT Server 10.0 P10 Клиенты: - ALT Workstation 10.0 P10 - ALT KWorkstation 10.1 P10 Дополнительно ============= Пожалуйста, предоставьте следующую информацию: 1. При подключении к серверу VPN выставлена ли опция "Request an inner IP address"? К примеру, на ALT KWorkstation данная опция включена по умолчанию. 2. Попробуйте также подключение через charon-cmd (утилита в пакете strongswan-charon-nm, выполнять от суперпользователя). Пожалуйста, предоставьте Ваш вариант подключения через данную команду и вывод команды. 3. Предоставьте Ваш вариант конфигурации StrongSwan, если есть возможность. Уверен, данная информация может помочь.
Доброго времени суток! По поводу подключений, что лично я понимаю из логов. Он видит, что у нас свой сервер, в процессе берет сертификат нашего сервера... не может подтвердить что он доверенный.. и сбрасывает. дек 08 10:25:03 alt-pc NetworkManager[2322]: <info> [1670455503.2704] agent-manager: agent[f0cb66d6163095c1,:1.110/nmcli-connect/500]: agent registered дек 08 10:25:03 alt-pc NetworkManager[2322]: <info> [1670455503.2749] audit: op="connection-activate" uuid="12af3580-3034-4047-9245-de252264228d" name="ikev2" pid=12289 uid=500 result="success" дек 08 10:25:03 alt-pc NetworkManager[2322]: <info> [1670455503.2810] vpn-connection[0x55b6a01d6300,12af3580-3034-4047-9245-de252264228d,"ikev2",0]: Started the VPN service, PID 12295 дек 08 10:25:03 alt-pc charon-nm[12295]: 00[DMN] Starting charon NetworkManager backend (strongSwan 5.9.8) дек 08 10:25:03 alt-pc charon-nm[12295]: 00[LIB] created TUN device: tun0 дек 08 10:25:03 alt-pc NetworkManager[2322]: <info> [1670455503.3136] manager: (tun0): new Tun device (/org/freedesktop/NetworkManager/Devices/4) дек 08 10:25:03 alt-pc NetworkManager[2322]: <info> [1670455503.3220] vpn-connection[0x55b6a01d6300,12af3580-3034-4047-9245-de252264228d,"ikev2",0]: Saw the service appear; activating connection дек 08 10:25:03 alt-pc charon-nm[12295]: 00[LIB] loaded plugins: nm-backend charon-nm ldap pkcs11 aes des rc2 sha2 sha1 md5 mgf1 random nonce x509 revocation constraints pkcs1 pkcs7 sshkey pem openssl pkcs8 fips-prf gmp curve25519 agent xcbc cmac hmac kdf ctr ccm gcm ntru drbg curl kernel-pfkey kernel-netlink socket-default eap-identity eap-md5 eap-gtc eap-mschapv2 eap-tls eap-ttls дек 08 10:25:03 alt-pc charon-nm[12295]: 00[LIB] dropped capabilities, running as uid 0, gid 0 дек 08 10:25:03 alt-pc charon-nm[12295]: 00[JOB] spawning 16 worker threads дек 08 10:25:03 alt-pc NetworkManager[2322]: <info> [1670455503.4442] vpn-connection[0x55b6a01d6300,12af3580-3034-4047-9245-de252264228d,"ikev2",0]: VPN connection: (ConnectInteractive) reply received дек 08 10:25:03 alt-pc charon-nm[12295]: 11[CFG] received initiate for NetworkManager connection ikev2 дек 08 10:25:03 alt-pc charon-nm[12295]: 11[CFG] using gateway identity 'АДРЕС' дек 08 10:25:03 alt-pc charon-nm[12295]: 11[IKE] initiating IKE_SA ikev2[1] to ипАДРЕС дек 08 10:25:03 alt-pc charon-nm[12295]: 11[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ] дек 08 10:25:03 alt-pc charon-nm[12295]: 11[NET] sending packet: from ИПАДРЕС[47438] to АДРЕС[500] (1096 bytes) дек 08 10:25:03 alt-pc NetworkManager[2322]: <info> [1670455503.4807] vpn-connection[0x55b6a01d6300,12af3580-3034-4047-9245-de252264228d,"ikev2",0]: VPN plugin: state changed: starting (3) дек 08 10:25:03 alt-pc charon-nm[12295]: 07[NET] received packet: from ИПАДРЕС[500] to ИПАДРЕС[47438] (3265 bytes) дек 08 10:25:03 alt-pc charon-nm[12295]: 07[ENC] parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(HASH_ALG) N(CHDLESS_SUP) N(MULT_AUTH) ] дек 08 10:25:03 alt-pc charon-nm[12295]: 07[CFG] selected proposal: IKE:AES_GCM_16_256/PRF_AES128_XCBC/CURVE_25519 дек 08 10:25:03 alt-pc charon-nm[12295]: 07[IKE] local host is behind NAT, sending keep alives дек 08 10:25:03 alt-pc charon-nm[12295]: 07[IKE] received cert request for "CN=ACCVRAIZ1, OU=PKIACCV, O=ACCV, C=ES" дек 08 10:25:03 alt-pc charon-nm[12295]: 07[IKE] received 150 cert requests for an unknown ca дек 08 10:25:03 alt-pc charon-nm[12295]: 07[IKE] sending cert request for "CN=ACCVRAIZ1, OU=PKIACCV, O=ACCV, C=ES" дек 08 10:25:03 alt-pc charon-nm[12295]: 07[IKE] establishing CHILD_SA ikev2{1} дек 08 10:25:03 alt-pc charon-nm[12295]: 07[ENC] generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) CERTREQ CPRQ(ADDR ADDR6 DNS NBNS DNS6) N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ] дек 08 10:25:03 alt-pc charon-nm[12295]: 07[NET] sending packet: from ИПАДРЕС[34873] to ИПАДРЕС[4500] (467 bytes) дек 08 10:25:03 alt-pc charon-nm[12295]: 06[NET] received packet: from ИПАДРЕС[4500] to ИПАДРЕС[34873] (1248 bytes) дек 08 10:25:03 alt-pc charon-nm[12295]: 06[ENC] parsed IKE_AUTH response 1 [ EF(1/2) ] дек 08 10:25:03 alt-pc charon-nm[12295]: 06[ENC] received fragment #1 of 2, waiting for complete IKE message дек 08 10:25:03 alt-pc charon-nm[12295]: 08[NET] received packet: from ИПАДРЕС[4500] to ИПАДРЕС[34873] (517 bytes) дек 08 10:25:03 alt-pc charon-nm[12295]: 08[ENC] parsed IKE_AUTH response 1 [ EF(2/2) ] дек 08 10:25:03 alt-pc charon-nm[12295]: 08[ENC] received fragment #2 of 2, reassembled fragmented IKE message (1700 bytes) дек 08 10:25:03 alt-pc charon-nm[12295]: 08[ENC] parsed IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ] дек 08 10:25:03 alt-pc charon-nm[12295]: 08[IKE] received end entity cert "CN=АДРЕС" дек 08 10:25:03 alt-pc charon-nm[12295]: 08[CFG] using certificate "CN=АДРЕС" дек 08 10:25:03 alt-pc charon-nm[12295]: 08[CFG] no issuer certificate found for "CN=АДРЕС" дек 08 10:25:03 alt-pc NetworkManager[2322]: <warn> [1670455503.5616] vpn-connection[0x55b6a01d6300,12af3580-3034-4047-9245-de252264228d,"ikev2",0]: VPN plugin: failed: connect-failed (1) дек 08 10:25:03 alt-pc charon-nm[12295]: 08[CFG] issuer is "C=US, O=Let's Encrypt, CN=R3" дек 08 10:25:03 alt-pc NetworkManager[2322]: <warn> [1670455503.5617] vpn-connection[0x55b6a01d6300,12af3580-3034-4047-9245-de252264228d,"ikev2",0]: VPN plugin: failed: connect-failed (1) дек 08 10:25:03 alt-pc charon-nm[12295]: 08[IKE] no trusted RSA public key found for 'АДРЕС' дек 08 10:25:03 alt-pc NetworkManager[2322]: <info> [1670455503.5619] vpn-connection[0x55b6a01d6300,12af3580-3034-4047-9245-de252264228d,"ikev2",0]: VPN plugin: state changed: stopping (5) дек 08 10:25:03 alt-pc charon-nm[12295]: 08[ENC] generating INFORMATIONAL request 2 [ N(AUTH_FAILED) ] дек 08 10:25:03 alt-pc NetworkManager[2322]: <info> [1670455503.5621] vpn-connection[0x55b6a01d6300,12af3580-3034-4047-9245-de252264228d,"ikev2",0]: VPN plugin: state changed: stopped (6) дек 08 10:25:03 alt-pc charon-nm[12295]: 08[NET] sending packet: from ИПАДРЕС[34873] to ИПАДРЕС[4500] (65 bytes) дек 08 10:25:03 alt-pc NetworkManager[2322]: <warn> [1670455503.5627] vpn-connection[0x55b6a01d6300,12af3580-3034-4047-9245-de252264228d,"ikev2",0]: VPN plugin: failed: login-failed (0)
no trusted RSA public key found for 'АДРЕС'
(Ответ для gttn на комментарий #8) > no trusted RSA public key found for 'АДРЕС' Эта информация была представлена ранее, в описании баги, но её недостаточно, чтобы воспроизвести ошибку и воссоздать похожий стенд. Ответьте, пожалуйста, на вопросы из комментарий #6.
(Ответ для Evgeny Shesteperov на комментарий #6) > Пожалуйста, предоставьте следующую информацию: > > 1. При подключении к серверу VPN выставлена ли опция "Request an inner IP > address"? К примеру, на ALT KWorkstation данная опция включена по умолчанию. > 2. Попробуйте также подключение через charon-cmd (утилита в пакете > strongswan-charon-nm, выполнять от суперпользователя). Пожалуйста, > предоставьте Ваш вариант подключения через данную команду и вывод команды. > 3. Предоставьте Ваш вариант конфигурации StrongSwan, если есть возможность. 1. Да, галочка установлена 2. [root@alt-pc ~]# charon-cmd --host ИПАДРЕС --identity ЛОГИН ПАРОЛЬ 00[LIB] dropped capabilities, running as uid 0, gid 0 00[DMN] Starting charon-cmd IKE client (strongSwan 5.9.8, Linux 5.15.80-un-def-alt1, x86_64) 00[LIB] loaded plugins: charon-cmd ldap pkcs11 aes des rc2 sha2 sha1 md5 mgf1 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs12 sshkey pem openssl pkcs8 fips-prf gmp curve25519 agent xcbc cmac hmac kdf ctr ccm gcm ntru drbg curl kernel-pfkey kernel-netlink resolve socket-default eap-identity eap-md5 eap-gtc eap-mschapv2 eap-tls eap-ttls xauth-generic 00[JOB] spawning 16 worker threads 06[IKE] initiating IKE_SA cmd[1] to ИПАДРЕС 06[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ] 06[NET] sending packet: from ИПАДРЕС[50433] to ИПАДРЕС[4500] (1096 bytes) 07[NET] received packet: from ИПАДРЕС[4500] to ИПАДРЕС[50433] (3265 bytes) 07[ENC] parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(HASH_ALG) N(CHDLESS_SUP) N(MULT_AUTH) ] 07[CFG] selected proposal: IKE:AES_GCM_16_256/PRF_AES128_XCBC/CURVE_25519 07[IKE] local host is behind NAT, sending keep alives 07[IKE] received 151 cert requests for an unknown ca 07[IKE] establishing CHILD_SA cmd{1} 07[ENC] generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) CPRQ(ADDR DNS) N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ] 07[NET] sending packet: from ИПАДРЕС[36534] to ИПАДРЕС[4500] (350 bytes) 08[NET] received packet: from ИПАДРЕС[4500] to ИПАДРЕС[36534] (1248 bytes) 08[ENC] parsed IKE_AUTH response 1 [ EF(1/4) ] 08[ENC] received fragment #1 of 4, waiting for complete IKE message 09[NET] received packet: from ИПАДРЕС[4500] to ИПАДРЕС[36534] (1248 bytes) 09[ENC] parsed IKE_AUTH response 1 [ EF(3/4) ] 09[ENC] received fragment #3 of 4, waiting for complete IKE message 11[NET] received packet: from ИПАДРЕС[4500] to ИПАДРЕС[36534] (1248 bytes) 11[ENC] parsed IKE_AUTH response 1 [ EF(2/4) ] 11[ENC] received fragment #2 of 4, waiting for complete IKE message 10[NET] received packet: from ИПАДРЕС[4500] to ИПАДРЕС[36534] (839 bytes) 10[ENC] parsed IKE_AUTH response 1 [ EF(4/4) ] 10[ENC] received fragment #4 of 4, reassembled fragmented IKE message (4396 bytes) 10[ENC] parsed IKE_AUTH response 1 [ IDr CERT CERT CERT AUTH EAP/REQ/ID ] 10[IKE] received end entity cert "CN=ХОСТ" 10[IKE] received issuer cert "C=US, O=Let's Encrypt, CN=R3" 10[IKE] received issuer cert "C=US, O=Internet Security Research Group, CN=ISRG Root X1" 10[CFG] using certificate "CN=ХОСТ" 10[CFG] using untrusted intermediate certificate "C=US, O=Let's Encrypt, CN=R3" 10[CFG] using untrusted intermediate certificate "C=US, O=Internet Security Research Group, CN=ISRG Root X1" 10[CFG] no issuer certificate found for "C=US, O=Internet Security Research Group, CN=ISRG Root X1" 10[CFG] issuer is "O=Digital Signature Trust Co., CN=DST Root CA X3" 10[IKE] no trusted RSA public key found for 'ХОСТ' 10[ENC] generating INFORMATIONAL request 2 [ N(AUTH_FAILED) ] 10[NET] sending packet: from ИПАДРЕС[36534] to ИПАДРЕС[4500] (65 bytes) 3. у меня настройка в графическом Address = ХОСТ Authentication = EAP UserName = имя Password = пароль галочка Request inner IP address галочка Enforce UDP encapsulation галочка Enable custom proposals IKE = aes256-sha256-modp1024 Я думаю проблема скорее всего в самом сертификате... просто я помню что федоре на дебиан проблем не было, а альт почему-то не хочет ему доверять... По факту сейчас цепляюсь через L2TP с включенным IPSec, стронгсвон не работает К примеру на эволюшн, мне приходится при цеплянии к почтовому серверу (на том же адресе) нажимать принять и продолжить недоверенный сертификат.. и тогда все нормаль
(Ответ для gttn на комментарий #10) > 10[IKE] received end entity cert "CN=ХОСТ" > 10[IKE] received issuer cert "C=US, O=Let's Encrypt, CN=R3" > 10[IKE] received issuer cert "C=US, O=Internet Security Research Group, > CN=ISRG Root X1" > 10[CFG] using certificate "CN=ХОСТ" > 10[CFG] using untrusted intermediate certificate "C=US, O=Let's Encrypt, > CN=R3" > 10[CFG] using untrusted intermediate certificate "C=US, O=Internet > Security Research Group, CN=ISRG Root X1" > 10[CFG] no issuer certificate found for "C=US, O=Internet Security Research > Group, CN=ISRG Root X1" > 10[CFG] issuer is "O=Digital Signature Trust Co., CN=DST Root CA X3" Установлен ли данный корневой сертификат в системе? Подробнее, см. https://www.altlinux.org/Установка_корневого_сертификата > Address = ХОСТ > Authentication = EAP > UserName = имя > Password = пароль > галочка Request inner IP address > галочка Enforce UDP encapsulation > галочка Enable custom proposals > IKE = aes256-sha256-modp1024 Вы также можете его указать через опцию Certificate в разделе Server.
(Ответ для Evgeny Shesteperov на комментарий #11) > (Ответ для gttn на комментарий #10) > > 10[IKE] received end entity cert "CN=ХОСТ" > > 10[IKE] received issuer cert "C=US, O=Let's Encrypt, CN=R3" > > 10[IKE] received issuer cert "C=US, O=Internet Security Research Group, > > CN=ISRG Root X1" > > 10[CFG] using certificate "CN=ХОСТ" > > 10[CFG] using untrusted intermediate certificate "C=US, O=Let's Encrypt, > > CN=R3" > > 10[CFG] using untrusted intermediate certificate "C=US, O=Internet > > Security Research Group, CN=ISRG Root X1" > > 10[CFG] no issuer certificate found for "C=US, O=Internet Security Research > > Group, CN=ISRG Root X1" > > 10[CFG] issuer is "O=Digital Signature Trust Co., CN=DST Root CA X3" > > Установлен ли данный корневой сертификат в системе? > > Подробнее, см. https://www.altlinux.org/Установка_корневого_сертификата > > > Address = ХОСТ > > Authentication = EAP > > UserName = имя > > Password = пароль > > галочка Request inner IP address > > галочка Enforce UDP encapsulation > > галочка Enable custom proposals > > IKE = aes256-sha256-modp1024 > > Вы также можете его указать через опцию Certificate в разделе Server. Попробовал, но у меня к сожалению так и не завелось.