Puncte:0

Nu se poate conecta MacOS la serverul StrongSwan VPN instalat pe ubuntu

drapel br

Am o problemă de conectare la VPN IKEv2 care rulează pe o mașină virtuală Ubuntu pe GCP. Încerc să mă conectez cu MacOS și Windows. Am urmat asta tutorial pentru a instala VPN-ul pe un VM Ubuntu. Am nevoie de un VPN, astfel încât să pot avea un IP static pentru mai multe persoane și să mă conectez la aplicații care rulează pe GCP care nu sunt publice. Am citit că VPN-ul client/server este soluția de care am nevoie, motiv pentru care am încercat acest tutorial. Posibil problema cu configurația este că numai Ubuntu OS se va putea conecta la VPN?

Singura diferență față de tutorial este că am schimbat numele de domenii din tutorial cu o adresă IP a VM GCP. Mesajul de eroare pe MacOS este „Autentificarea utilizatorului eșuat” și am încărcat ca.cert.pem de la serverul VPN în Accesul la lanțul de chei pe MacOS-ul meu. Conectarea de la Windows 10 este o problemă similară. Am pus fișierul pem în Trusted Root Certification Authorities, dar nu m-am putut conecta folosind numele de utilizator și parola.

S-au găsit următoarele jurnale pe serverul Ubuntu var/log/syslog când încercați să vă conectați cu clientul IKEv2 încorporat MacOS:

13 iunie 12:54:14 vpn-instance charon: 03[NET] pachet primit: de la xxx.xxx.xxx.xxx[500] la 10.152.0.2[500]
13 iunie 12:54:14 vpn-instance charon: 03[NET] așteaptă date pe socket-uri
13 iunie 12:54:14 vpn-instance charon: 09[MGR] checkout IKEv2 SA prin mesaj cu SPI-uri e2706de3b7c70401_i 0000000000000000_r
13 iunie 12:54:14 vpn-instance ipsec[540]: 04[NET] trimitere pachet: de la 10.152.0.2[4500] la xxx.xxx.xxx.xxx[4500]
13 iunie 12:54:14 vpn-instance ipsec[540]: 10[NET] trimite pachet: de la 10.152.0.2[4500] la xxx.xxx.xxx.xxx[4500] (740 de octeți)
13 iunie 12:54:14 vpn-instance ipsec[540]: 04[NET] trimitere pachet: de la 10.152.0.2[4500] la xxx.xxx.xxx.xxx[4500]
13 iunie 12:54:14 vpn-instance ipsec[540]: 10[MGR] înregistrare IKE_SA ipsec-ikev2-vpn[6]
13 iunie 12:54:14 vpn-instance ipsec[540]: 10[MGR] înregistrarea IKE_SA cu succes
13 iunie 12:54:14 vpn-instance ipsec[540]: 03[NET] primit pachet: de la xxx.xxx.xxx.xxx[4500] la 10.152.0.2[4500]
13 iunie 12:54:14 vpn-instance ipsec[540]: 03[NET] așteaptă date pe socket-uri
13 iunie 12:54:14 vpn-instance ipsec[540]: 11[MGR] checkout IKEv2 SA prin mesaj cu SPI-uri 34ad7c643920ad6b_i 4b3661d3bf822b14_r
13 iunie 12:54:14 vpn-instance ipsec[540]: 11[MGR] IKE_SA ipsec-ikev2-vpn[6] a fost verificată cu succes
13 iunie 12:54:14 vpn-instance ipsec[540]: 11[NET] primit pachet: de la xxx.xxx.xxx.xxx[4500] la 10.152.0.2[4500] (80 de octeți)
13 iunie 12:54:14 vpn-instance ipsec[540]: 11[ENC] analizat cererea IKE_AUTH 2 [ EAP/RES/ID ]
13 iunie 12:54:14 vpn-instance ipsec[540]: 11[IKE] inițiază metoda EAP_MSCHAPV2 (id 0x9C)
13 iunie 12:54:14 vpn-instance ipsec[540]: 11[ENC] generează răspunsul IKE_AUTH 2 [ EAP/REQ/MSCHAPV2 ]
13 iunie 12:54:14 vpn-instance ipsec[540]: 11[NET] trimite pachet: de la 10.152.0.2[4500] la xxx.xxx.xxx.xxx[4500] (112 octeți)
13 iunie 12:54:14 vpn-instance ipsec[540]: 11[MGR] înregistrare IKE_SA ipsec-ikev2-vpn[6]
13 iunie 12:54:14 vpn-instance ipsec[540]: 11[MGR] înregistrarea IKE_SA cu succes
13 iunie 12:54:14 vpn-instance ipsec[540]: 04[NET] trimitere pachet: de la 10.152.0.2[4500] la xxx.xxx.xxx.xxx[4500]
13 iunie 12:54:14 vpn-instance ipsec[540]: 12[MGR] checkout IKEv2 SA cu SPI-uri 05c7426145bd1401_i 0b4b7fc130e9023e_r
13 iunie 12:54:14 vpn-instance ipsec[540]: 12[MGR] IKE_SA ipsec-ikev2-vpn[5] a fost verificată cu succes
13 iunie 12:54:14 vpn-instance ipsec[540]: 12[IKE] se trimite Keep alive la xxx.xxx.xxx.xxx[4500]
13 iunie 12:54:14 vpn-instance ipsec[540]: 12[MGR] înregistrare IKE_SA ipsec-ikev2-vpn[5]
13 iunie 12:54:14 vpn-instance ipsec[540]: 12[MGR] înregistrarea IKE_SA cu succes
13 iunie 12:54:14 vpn-instance ipsec[540]: 04[NET] trimitere pachet: de la 10.152.0.2[4500] la xxx.xxx.xxx.xxx[4500]
13 iunie 12:54:14 vpn-instance ipsec[540]: 13[MGR] checkout IKEv2 SA cu SPI-uri 34ad7c643920ad6b_i 4b3661d3bf822b14_r
13 iunie 12:54:14 vpn-instance ipsec[540]: 13[MGR] IKE_SA ipsec-ikev2-vpn[6] a verificat cu succes
13 iunie 12:54:14 vpn-instance ipsec[540]: 13[MGR] înregistrare IKE_SA ipsec-ikev2-vpn[6]
13 iunie 12:54:14 vpn-instance ipsec[540]: 13[MGR] înregistrarea IKE_SA cu succes
13 iunie 12:54:14 vpn-instance ipsec[540]: 14[MGR] checkout IKEv2 SA cu SPI-uri 34ad7c643920ad6b_i 4b3661d3bf822b14_r
13 iunie 12:54:14 vpn-instance ipsec[540]: 14[MGR] IKE_SA ipsec-ikev2-vpn[6] a verificat cu succes
13 iunie 12:54:14 vpn-instance ipsec[540]: 14[IKE] se trimite menține în viață la xxx.xxx.xxx.xxx[4500]
13 iunie 12:54:14 vpn-instance ipsec[540]: 14[MGR] înregistrare IKE_SA ipsec-ikev2-vpn[6]
13 iunie 12:54:14 vpn-instance ipsec[540]: 04[NET] trimitere pachet: de la 10.152.0.2[4500] la xxx.xxx.xxx.xxx[4500]
13 iunie 12:54:14 vpn-instance ipsec[540]: 14[MGR] înregistrarea IKE_SA cu succes
13 iunie 12:54:14 vpn-instance ipsec[540]: 15[MGR] checkout IKEv2 SA cu SPI-uri 05c7426145bd1401_i 0b4b7fc130e9023e_r
13 iunie 12:54:14 vpn-instance ipsec[540]: 15[MGR] IKE_SA ipsec-ikev2-vpn[5] a verificat cu succes
13 iunie 12:54:14 vpn-instance charon: 09[MGR] creat IKE_SA (nenumit)[7]
13 iunie 12:54:14 vpn-instance ipsec[540]: 15[JOB] ștergerea IKE_SA pe jumătate deschisă cu xxx.xxx.xxx.xxx după expirarea timpului
13 iunie 12:54:14 vpn-instance ipsec[540]: 15[MGR] înregistrarea și distrugerea IKE_SA ipsec-ikev2-vpn[5]
13 iunie 12:54:14 vpn-instance ipsec[540]: 15[IKE] IKE_SA ipsec-ikev2-vpn[5] schimbare de stare: CONECTARE => DISTRUGERE
13 iunie 12:54:14 vpn-instance ipsec[540]: 15[MGR] înregistrarea și distrugerea IKE_SA cu succes
13 iunie 12:54:14 vpn-instance ipsec[540]: 16[MGR] checkout IKEv2 SA cu SPI-uri 34ad7c643920ad6b_i 4b3661d3bf822b14_r
13 iunie 12:54:14 vpn-instance ipsec[540]: 16[MGR] IKE_SA ipsec-ikev2-vpn[6] a verificat cu succes
13 iunie 12:54:14 vpn-instance ipsec[540]: 16[JOB] ștergerea IKE_SA pe jumătate deschisă cu xxx.xxx.xxx.xxx după expirare
13 iunie 12:54:14 vpn-instance ipsec[540]: 16[MGR] înregistrarea și distrugerea IKE_SA ipsec-ikev2-vpn[6]
13 iunie 12:54:14 vpn-instance ipsec[540]: 16[IKE] IKE_SA ipsec-ikev2-vpn[6] schimbare de stare: CONECTARE => DISTRUGERE
13 iunie 12:54:14 vpn-instance ipsec[540]: 16[MGR] înregistrarea și distrugerea IKE_SA cu succes
13 iunie 12:54:14 vpn-instance ipsec[540]: 06[MGR] checkout IKEv2 SA cu SPI-uri 05c7426145bd1401_i 0b4b7fc130e9023e_r
13 iunie 12:54:14 vpn-instance ipsec[540]: 06[MGR] Verificarea IKE_SA nu a reușit
13 iunie 12:54:14 vpn-instance ipsec[540]: 05[MGR] checkout IKEv2 SA cu SPI-uri 34ad7c643920ad6b_i 4b3661d3bf822b14_r
13 iunie 12:54:14 vpn-instance ipsec[540]: 05[MGR] Verificarea IKE_SA nu a reușit
13 iunie 12:54:14 vpn-instance ipsec[540]: 03[NET] primit pachet: de la xxx.xxx.xxx.xxx[500] la 10.152.0.2[500]
13 iunie 12:54:14 vpn-instance ipsec[540]: 03[NET] așteaptă date pe socket-uri
13 iunie 12:54:14 vpn-instance ipsec[540]: 09[MGR] checkout IKEv2 SA prin mesaj cu SPI-uri e2706de3b7c70401_i 0000000000000000_r
13 iunie 12:54:14 vpn-instance charon: 03[NET] așteaptă date pe socket-uri
13 iunie 12:54:14 vpn-instance charon: 14[MGR] checkout IKEv2 SA prin mesaj cu SPI-uri 25159daea9f11f1d_i 64799938fac7
977c_r
13 iunie 12:54:14 vpn-instance charon: 14[MGR] IKE_SA ipsec-ikev2-vpn[8] a verificat cu succes
13 iunie 12:54:14 vpn-instance charon: 14[NET] pachet primit: de la xxx.xxx.xxx.xxx[4500] la 10.152.0.2[4500] (80 de
tes)
13 iunie 12:54:14 vpn-instance charon: 14[ENC] analizat cererea IKE_AUTH 2 [ EAP/RES/ID ]
13 iunie 12:54:14 vpn-instance charon: 14[IKE] inițiază metoda EAP_MSCHAPV2 (id 0x4A)
13 iunie 12:54:14 vpn-instance charon: 14[ENC] generează răspunsul IKE_AUTH 2 [EAP/REQ/MSCHAPV2]
13 iunie 12:54:14 vpn-instance charon: 14[NET] trimitere pachet: de la 10.152.0.2[4500] la xxx.xxx.xxx.xxx[4500] (112 de la
tes)
13 iunie 12:54:14 vpn-instance charon: 14[MGR] checkin IKE_SA ipsec-ikev2-vpn[8]
13 iunie 12:54:14 vpn-instance charon: 14[MGR] înregistrarea IKE_SA cu succes
13 iunie 12:54:14 vpn-instance charon: 04[NET] trimitere pachet: de la 10.152.0.2[4500] la xxx.xxx.xxx.xxx[4500]
13 iunie 12:54:34 vpn-instance charon: 16[MGR] checkout IKEv2 SA cu SPI-uri e2706de3b7c70401_i 3ff8ef2239e91120_r
13 iunie 12:54:34 vpn-instance charon: 16[MGR] IKE_SA ipsec-ikev2-vpn[7] a verificat cu succes
13 iunie 12:54:34 vpn-instance charon: 16[IKE] trimiterea Keep alive la xxx.xxx.xxx.xxx[4500]
13 iunie 12:54:34 vpn-instance charon: 16[MGR] checkin IKE_SA ipsec-ikev2-vpn[7]
13 iunie 12:54:34 vpn-instance charon: 16[MGR] înregistrarea IKE_SA cu succes
13 iunie 12:54:34 vpn-instance charon: 04[NET] trimitere pachet: de la 10.152.0.2[4500] la xxx.xxx.xxx.xxx[4500]
13 iunie 12:54:34 vpn-instance charon: 06[MGR] checkout IKEv2 SA cu SPI-uri 25159daea9f11f1d_i 64799938fac7977c_r
13 iunie 12:54:34 vpn-instance charon: 06[MGR] IKE_SA ipsec-ikev2-vpn[8] a verificat cu succes
13 iunie 12:54:34 vpn-instance charon: 06[IKE] se trimite keep alive la xxx.xxx.xxx.xxx[4500]
13 iunie 12:54:34 vpn-instance charon: 06[MGR] checkin IKE_SA ipsec-ikev2-vpn[8]
13 iunie 12:54:34 vpn-instance charon: 06[MGR] înregistrarea IKE_SA cu succes
13 iunie 12:54:34 vpn-instance charon: 04[NET] trimitere pachet: de la 10.152.0.2[4500] la xxx.xxx.xxx.xxx[4500]
13 iunie 12:54:44 vpn-instance charon: 05[MGR] checkout IKEv2 SA cu SPI-uri e2706de3b7c70401_i 3ff8ef2239e91120_r
13 iunie 12:54:44 vpn-instance charon: 05[MGR] IKE_SA ipsec-ikev2-vpn[7] a verificat cu succes
13 iunie 12:54:44 vpn-instance charon: 05[JOB] se șterge IKE_SA pe jumătate deschis cu xxx.xxx.xxx.xxx după expirarea timpului
13 iunie 12:54:44 vpn-instance charon: 05[MGR] înregistrarea și distrugerea IKE_SA ipsec-ikev2-vpn[7]
13 iunie 12:54:44 vpn-instance charon: 05[IKE] IKE_SA ipsec-ikev2-vpn[7] schimbare de stare: CONECTARE => DISTRUGERE
13 iunie 12:54:44 vpn-instance charon: 05[MGR] înregistrarea și distrugerea IKE_SA cu succes
13 iunie 12:54:44 vpn-instance charon: 07[MGR] checkout IKEv2 SA cu SPI-uri 25159daea9f11f1d_i 64799938fac7977c_r
13 iunie 12:54:44 vpn-instance charon: 07[MGR] IKE_SA ipsec-ikev2-vpn[8] a verificat cu succes
13 iunie 12:54:44 vpn-instance charon: 07[JOB] ștergerea IKE_SA pe jumătate deschisă cu xxx.xxx.xxx.xxx după expirare
13 iunie 12:54:44 vpn-instance charon: 07[MGR] înregistrarea și distrugerea IKE_SA ipsec-ikev2-vpn[8]
13 iunie 12:54:44 vpn-instance charon: 07[IKE] IKE_SA ipsec-ikev2-vpn[8] schimbare de stare: CONECTARE => DISTRUGERE
13 iunie 12:54:44 vpn-instance charon: 07[MGR] înregistrarea și distrugerea IKE_SA cu succes
13 iunie 12:54:54 vpn-instance charon: 08[MGR] checkout IKEv2 SA cu SPI-uri e2706de3b7c70401_i 3ff8ef2239e91120_r
13 iunie 12:54:54 vpn-instance charon: 08[MGR] Checkout IKE_SA nu reușit
13 iunie 12:54:54 vpn-instance charon: 09[MGR] checkout IKEv2 SA cu SPI-uri 25159daea9f11f1d_i 64799938fac7977c_r
13 iunie 12:54:54 vpn-instance charon: 09[MGR] IKE_SA checkout nu a reușit

Vă rog să-mi spuneți ce ar putea fi în neregulă?

Editați | × Am adăugat mai sus de ieșire syslog de când încerc să mă conectez din jurnalul meu.

Aici este /etc/ipsec.conf configuratie:

configurare
  charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2"
  strictcrlpolicy=nu
  uniceids=da
  cachecrls=nu

conn ipsec-ikev2-vpn
  auto=adăugare
  compresa=nu
  tip=tunel
  keyexchange=ikev2
  fragmentare=da
  forcecaps=da
  dpdaction=clear
  dpddelay=300s
  rekey=nu
  stânga=%oricare
  leftid=xx.xxx.xxx.219
  leftcert=server.cert.pem
  leftsendcert=intotdeauna
  leftsubnet=0.0.0.0/0
  dreapta=%oricare
  rightid=%orice
  rightauth=eap-mschapv2
  rightsourceip=192.168.0.0/24
  rightdns=8.8.8.8 # DNS care urmează să fie atribuit clienților
  rightsendcert=niciodată
  eap_identity=%identitate

Configurația VPN MacOS este doar adresa serverului și ID-ul de la distanță, fiind adresa IP a serverului Ubuntu și setările de autentificare aferente, care este numele de utilizator și parola pe care le-am setat. /etc/ipsec.secrets.

Nu am putut vedea niciun eveniment legat de vpn în jurnalele din Macbook, cum ar fi raton.log sau ppp.log. Greu de găsit informații despre jurnalele VPN MacOS și pe net, motiv pentru care a fost dificil să descoperi această problemă. În altă parte, jurnalele VPN IKEv2 ar putea fi în BigSur?

Rezolvat A trebuit să se asigure că numele de utilizator și parola sunt aplicate corect în setările de autentificare IKEv2 mac.

Ginnungagap avatar
drapel gu
Nu aveți jurnale ale demonului raton pe partea macOS pentru a înțelege ce eșuează, jurnalele dvs. StrongSwan sunt rare și încercați să depanați și nu ați arătat configurația dvs. StrongSwan și nici configurația VPN pe partea macOS. Am clienți macOS să se conecteze la serverele StrongSwan în producție fără nicio problemă, așa că sunt sigur că nu este vorba despre a avea un client Ubuntu. Vă rugăm să postați informații complete și relevante și să activați jurnalele StrongSwan detaliate pentru a urmări comportamentul real. Cea mai bună presupunere, așa cum este, se referă la faptul că nu aveți CA în Keychain-ul de sistem sau nu folosiți EAP TLS.
drapel br
@Ginnungagap Am actualizat întrebarea conform comentariilor tale. A început să funcționeze după ce am adăugat din nou autentificarea. A continuat să dispară.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.