У меня проблемы с VPN-подключением. Во-первых, я использую Nokia 3.1 под управлением Android 9 и использую strongswan для подключения IKEv2 / EAP. Я просмотрел сайт strongswan спереди и сзади и не нашел ничего, связанного с моей проблемой. Я пытался настроить учетную запись для публикации проблемы, но вот уже неделю в моей учетной записи написано: «Ожидает одобрения администраторов». Я искал и читал все RFC, которые я мог, о соединениях IKEv2 и связанных темах, и много узнал об этом, но ничего конкретного для моей ситуации. Я также искал файлы конфигурации своих телефонов на предмет совместимости и ничего не нашел. Приложение strongswan говорит, что некоторые телефоны несовместимы, но не дает никакого списка, какие из них есть, а какие нет. Так что это тоже может быть проблемой, но соединение установлено, поэтому я думаю, что дело не в этом. Я разговаривал со своим VPN, и они понятия не имеют, что происходит. Так вот,
Как я уже сказал, я использую strongswan для соединения IKEv2 / EAP (по какой-то причине IPsec недоступен). Я использую IP-адрес сервера и свои учетные данные для инициирования соединения, сервер не может быть проверен сертификатом, поскольку доступный сертификат не является файлом json. Я сейчас пытаюсь найти способ конвертировать файл. Но он основан на корневом сертификате, предоставленном мне моим VPN. Я использую aes256gcm16-prfsha384-ecp384 для шифрования соединения. У меня есть сертификаты CA, которые не отправляются на сервер, чтобы уменьшить размер пакета IKE AUTH. Я не нашел там никакой информации о проблеме, и аутентификация завершена на обоих концах. В моем журнале написано, что я за NAT, не уверен, что это имеет значение, поэтому у меня для поддержания активности NAT установлено значение 20 секунд. Я блокирую IPv4 и IPv6, не предназначенные для VPN-подключения. Соединение CHILD SA устанавливается с SPI с поддержкой MOBIKE. Журнал говорит
EAP_MSCHAPV2 succeeded MSK established/
Auth of EAP successful/
IKE SA established scheduling Rekeying/
Installing new virtual IP/
CHILD SA Android established with SPI and TS/
Setting up TUN device for CHILD SA Android/
Successfully created TUN device/
Peer supports MOBIKE/
Проблема в том, что он не устанавливает соединение с соответствующими конфигурациями, и примерно через полчаса в моем журнале написано:
Creating rekey CHILD SA Android reqid 83/
Create CHILD SA request/
Ignoring KE exchange settled on non PFS proposal/
Inbound CHILD SA established with SPIs/
Outbound CHILD SA established with SPIs and TS/
Sending delete for ESP with CHILD SA and SPI/
Received delete for Child SA/
CHILD SA closed
После этого трафик прекращается, и из-за аварийного отключения я теряю соединение без уведомления. Это происходит с каждым сервером через несколько часов. Новый сервер будет работать нормально, но через три часа это происходит и продолжает происходить каждые полчаса после повторного подключения. В чем дело? Что я сделал не так? Я пытался передать всю информацию, но ее много, если я что-то упускаю или вам нужно что-то конкретное, дайте мне знать. Я потратил около трех последних недель, пытаясь понять это, не зная заранее сети. Так что, пожалуйста, извините меня, если я сделал что-то не так или неправильно истолковал. Благодарю вас за ваше время и потенциальную помощь.
Редактировать 1
Доступны следующие открытые области конфигурации:
• Идентификация клиента • DNS-сервер • MTU устройства туннеля VPN • Порт сервера • Сохранение активности NAT-T (установлено значение 20 или соединение потеряно) • Алгоритмы IKEv2 • Алгоритмы IPsec / ESP • Пользовательские подсети • Исключенные подсети
Доступные варианты включения / выключения: • Отправлять все запросы сертификатов (выкл. Для уменьшения размера пакета) • Использовать OCSP для проверки сертификата (вкл.) • Использовать списки отзыва сертификатов для проверки сертификата (вкл.) • Использовать строгий отзыв при проверке (выкл.) • Использовать Подпись RSA / PSS (включена)
Доступное соединение согласно веб-сайту Nord должно быть конфигурацией IKEv2 / IPsec, но единственные доступные варианты в раскрывающемся меню на strongswan:
• IKEv2 EAP (выбран в настоящий момент) • Сертификат IKEv2 • Сертификат IKEv2 + EAP • IKEv2 EAP-TLS • IKEv2 EAP-TNC
Однако это только авторизация клиента. Здесь вступает в игру строка конфигурации алгоритма IPsec? Разве это не по умолчанию? В документации по strongswan для приложения указано, что «предложение IPsec по умолчанию ограничено шифрованием AES с целостностью данных SHA1 / SHA2 или шифрованием аутентификации AES-GCM. Использование PFS с одной из предложенных групп ECP / MODP DH. ChaCha20 / Poly1305 также поддерживается . Пользовательское предложение ESP также может быть настроено. "
У меня весь трафик направляется в VPN. Я заблокировал все IPv4 и IPv6, не предназначенные для VPN. Я даже изменил свой APN и остановил весь трафик IPv6. Это было чертовски весело.