Рейтинг:0

Не удается подключить MacOS к VPN-серверу StrongSwan, установленному на Ubuntu

флаг br

У меня проблема с подключением к IKEv2 VPN, работающему на виртуальной машине Ubuntu на GCP. Я пытаюсь подключиться к MacOS и Windows. я следил за этим руководство для установки VPN на виртуальную машину Ubuntu. Мне нужен VPN, чтобы я мог иметь статический IP-адрес для нескольких людей и подключаться к приложениям, работающим на GCP, которые не являются общедоступными. Я читал, что клиент/сервер VPN — это решение, которое мне нужно, поэтому я попробовал это руководство. Возможно, проблема с конфигурацией заключается в том, что только ОС Ubuntu сможет подключиться к VPN?

Единственное отличие от руководства состоит в том, что я изменил доменные имена в руководстве на IP-адрес виртуальной машины GCP. Сообщение об ошибке в MacOS: «Ошибка аутентификации пользователя», и я загрузил ca.cert.pem с VPN-сервера в доступ к цепочке ключей на моем MacOS. Аналогичная проблема с подключением из Windows 10. Я поместил файл pem в доверенные корневые центры сертификации, но не смог подключиться, используя имя пользователя и пароль.

Найдены следующие журналы на сервере Ubuntu переменная/журнал/системный журнал при попытке подключения с помощью встроенного в MacOS клиента IKEv2:

13 июня 12:54:14 vpn-instance charon: 03[NET] получен пакет: от xxx.xxx.xxx.xxx[500] до 10.152.0.2[500]
13 июня 12:54:14 vpn-instance charon: 03[NET] ожидание данных на сокетах
13 июня 12:54:14 vpn-instance charon: 09[MGR] checkout IKEv2 SA по сообщению с SPI e2706de3b7c70401_i 00000000000000000_r
13 июня 12:54:14 vpn-instance ipsec[540]: 04[NET] отправка пакета: с 10.152.0.2[4500] на xxx.xxx.xxx.xxx[4500]
13 июня 12:54:14 vpn-instance ipsec[540]: 10[NET] отправка пакета: с 10.152.0.2[4500] на xxx.xxx.xxx.xxx[4500] (740 байт)
13 июня 12:54:14 vpn-instance ipsec[540]: 04[NET] отправка пакета: с 10.152.0.2[4500] на xxx.xxx.xxx.xxx[4500]
13 июня, 12:54:14 vpn-instance ipsec[540]: 10[MGR] checkin IKE_SA ipsec-ikev2-vpn[6]
13 июня, 12:54:14 vpn-instance ipsec[540]: 10[MGR] регистрация IKE_SA прошла успешно
13 июня 12:54:14 vpn-instance ipsec[540]: 03[NET] получен пакет: от xxx.xxx.xxx.xxx[4500] до 10.152.0.2[4500]
13 июня 12:54:14 vpn-instance ipsec[540]:03[NET] ожидание данных на сокетах
13 июня, 12:54:14 vpn-instance ipsec[540]: 11[MGR] checkout IKEv2 SA по сообщению с SPI 34ad7c643920ad6b_i 4b3661d3bf822b14_r
13 июня, 12:54:14 vpn-instance ipsec[540]: 11[MGR] IKE_SA ipsec-ikev2-vpn[6] успешно проверен
13 июня 12:54:14 vpn-экземпляр ipsec[540]: 11[NET] получил пакет: от xxx.xxx.xxx.xxx[4500] до 10.152.0.2[4500] (80 байт)
13 июня, 12:54:14 vpn-instance ipsec[540]: 11[ENC] проанализировал запрос IKE_AUTH 2 [EAP/RES/ID]
13 июня, 12:54:14 vpn-instance ipsec[540]: 11[IKE] инициирует метод EAP_MSCHAPV2 (id 0x9C)
13 июня, 12:54:14 vpn-instance ipsec[540]: 11[ENC] генерирует ответ IKE_AUTH 2 [EAP/REQ/MSCHAPV2]
13 июня 12:54:14 vpn-instance ipsec[540]: 11[NET] отправка пакета: с 10.152.0.2[4500] на xxx.xxx.xxx.xxx[4500] (112 байт)
13 июня 12:54:14 vpn-экземпляр ipsec[540]: 11[MGR] регистрация IKE_SA ipsec-ikev2-vpn[6]
13 июня, 12:54:14 vpn-instance ipsec[540]: 11[MGR] регистрация IKE_SA прошла успешно
13 июня 12:54:14 vpn-instance ipsec[540]: 04[NET] отправка пакета: с 10.152.0.2[4500] на xxx.xxx.xxx.xxx[4500]
13 июня, 12:54:14 vpn-instance ipsec[540]: 12[MGR] проверка IKEv2 SA с SPI 05c7426145bd1401_i 0b4b7fc130e9023e_r
13 июня, 12:54:14 vpn-instance ipsec[540]: 12[MGR] IKE_SA ipsec-ikev2-vpn[5] успешно извлечен
13 июня, 12:54:14 vpn-instance ipsec[540]: 12[IKE] отправляет подтверждение активности на xxx.xxx.xxx.xxx[4500]
13 июня 12:54:14 vpn-экземпляр ipsec[540]: 12[MGR] регистрация IKE_SA ipsec-ikev2-vpn[5]
13 июня, 12:54:14 vpn-instance ipsec[540]: 12[MGR] регистрация IKE_SA прошла успешно
13 июня 12:54:14 vpn-instance ipsec[540]: 04[NET] отправка пакета: с 10.152.0.2[4500] на xxx.xxx.xxx.xxx[4500]
13 июня, 12:54:14 vpn-instance ipsec[540]: 13[MGR] проверка IKEv2 SA с SPI 34ad7c643920ad6b_i 4b3661d3bf822b14_r
13 июня, 12:54:14 vpn-instance ipsec[540]: 13[MGR] IKE_SA ipsec-ikev2-vpn[6] успешно проверен
13 июня 12:54:14 vpn-экземпляр ipsec[540]: 13[MGR] регистрация IKE_SA ipsec-ikev2-vpn[6]
13 июня, 12:54:14 vpn-instance ipsec[540]: 13[MGR] регистрация IKE_SA прошла успешно
13 июня, 12:54:14 vpn-instance ipsec[540]: 14[MGR] проверка IKEv2 SA с SPI 34ad7c643920ad6b_i 4b3661d3bf822b14_r
13 июня, 12:54:14 vpn-instance ipsec[540]: 14[MGR] IKE_SA ipsec-ikev2-vpn[6] успешно проверен
13 июня, 12:54:14 vpn-instance ipsec[540]: 14[IKE] отправляет подтверждение активности на xxx.xxx.xxx.xxx[4500]
13 июня 12:54:14 vpn-экземпляр ipsec[540]: 14[MGR] регистрация IKE_SA ipsec-ikev2-vpn[6]
13 июня 12:54:14 vpn-instance ipsec[540]: 04[NET] отправка пакета: с 10.152.0.2[4500] на xxx.xxx.xxx.xxx[4500]
13 июня, 12:54:14 vpn-instance ipsec[540]: 14[MGR] регистрация IKE_SA прошла успешно
13 июня, 12:54:14 vpn-instance ipsec[540]: 15[MGR] checkout IKEv2 SA с SPI 05c7426145bd1401_i 0b4b7fc130e9023e_r
13 июня, 12:54:14 vpn-instance ipsec[540]: 15[MGR] IKE_SA ipsec-ikev2-vpn[5] успешно проверен
13 июня 12:54:14 vpn-instance charon: 09[MGR] создал IKE_SA (безымянный)[7]
13 июня, 12:54:14 vpn-instance ipsec[540]: 15[JOB] удаление полуоткрытого IKE_SA с xxx.xxx.xxx.xxx после тайм-аута
13 июня, 12:54:14 vpn-instance ipsec[540]: 15[MGR] зарегистрировать и уничтожить IKE_SA ipsec-ikev2-vpn[5]
13 июня 12:54:14 vpn-instance ipsec[540]: 15[IKE] IKE_SA ipsec-ikev2-vpn[5] изменение состояния: ПОДКЛЮЧЕНИЕ => УНИЧТОЖЕНИЕ
13 июня, 12:54:14 vpn-instance ipsec[540]: 15[MGR] проверка и уничтожение IKE_SA успешно
13 июня, 12:54:14 vpn-instance ipsec[540]: 16[MGR] проверка IKEv2 SA с SPI 34ad7c643920ad6b_i 4b3661d3bf822b14_r
13 июня, 12:54:14 vpn-instance ipsec[540]: 16[MGR] IKE_SA ipsec-ikev2-vpn[6] успешно проверен
13 июня, 12:54:14 vpn-instance ipsec[540]: 16[JOB] удаление полуоткрытого IKE_SA с xxx.xxx.xxx.xxx после тайм-аута
13 июня, 12:54:14 vpn-instance ipsec[540]: 16[MGR] зарегистрировать и уничтожить IKE_SA ipsec-ikev2-vpn[6]
13 июня 12:54:14 vpn-instance ipsec[540]: 16[IKE] IKE_SA ipsec-ikev2-vpn[6] изменение состояния: ПОДКЛЮЧЕНИЕ => УНИЧТОЖЕНИЕ
13 июня 12:54:14 vpn-instance ipsec[540]: 16[MGR] регистрация и удаление IKE_SA успешно
13 июня, 12:54:14 vpn-instance ipsec[540]: 06[MGR] checkout IKEv2 SA с SPI 05c7426145bd1401_i 0b4b7fc130e9023e_r
13 июня, 12:54:14 vpn-instance ipsec[540]: 06[MGR] Проверка IKE_SA не удалась
13 июня, 12:54:14 vpn-instance ipsec[540]: 05[MGR] checkout IKEv2 SA с SPI 34ad7c643920ad6b_i 4b3661d3bf822b14_r
13 июня, 12:54:14 vpn-instance ipsec[540]: 05[MGR] Проверка IKE_SA не удалась
13 июня 12:54:14 vpn-instance ipsec[540]: 03[NET] получен пакет: от xxx.xxx.xxx.xxx[500] до 10.152.0.2[500]
13 июня 12:54:14 vpn-instance ipsec[540]:03[NET] ожидание данных на сокетах
13 июня 12:54:14 vpn-instance ipsec[540]: 09[MGR] checkout IKEv2 SA по сообщению с SPI e2706de3b7c70401_i 0000000000000000_r
13 июня 12:54:14 vpn-instance charon: 03[NET] ожидание данных на сокетах
13 июня 12:54:14 vpn-instance charon: 14[MGR] checkout IKEv2 SA по сообщению с SPI 25159daea9f11f1d_i 64799938fac7
977c_r
13 июня 12:54:14 vpn-instance charon: 14[MGR] IKE_SA ipsec-ikev2-vpn[8] успешно проверен
13 июня 12:54:14 vpn-instance charon: 14[NET] получен пакет: от xxx.xxx.xxx.xxx[4500] до 10.152.0.2[4500] (80 от
те)
13 июня 12:54:14 vpn-instance charon: 14[ENC] проанализирован запрос IKE_AUTH 2 [EAP/RES/ID]
13 июня 12:54:14 vpn-instance charon: 14[IKE] инициирует метод EAP_MSCHAPV2 (id 0x4A)
13 июня 12:54:14 vpn-instance charon: 14[ENC] генерирует ответ IKE_AUTH 2 [EAP/REQ/MSCHAPV2]
13 июня 12:54:14 vpn-instance charon: 14[NET] отправка пакета: с 10.152.0.2[4500] на xxx.xxx.xxx.xxx[4500] (112 от
те)
13 июня 12:54:14 vpn-instance charon: 14[MGR] checkin IKE_SA ipsec-ikev2-vpn[8]
13 июня 12:54:14 vpn-instance charon: 14[MGR] проверка IKE_SA прошла успешно
13 июня 12:54:14 vpn-instance charon: 04[NET] отправка пакета: с 10.152.0.2[4500] на xxx.xxx.xxx.xxx[4500]
13 июня, 12:54:34 vpn-instance charon: 16[MGR] проверка IKEv2 SA с SPI e2706de3b7c70401_i 3ff8ef2239e91120_r
13 июня 12:54:34 vpn-instance charon: 16[MGR] IKE_SA ipsec-ikev2-vpn[7] успешно проверен
13 июня 12:54:34 vpn-экземпляр charon: 16[IKE] отправляет подтверждение активности на xxx.xxx.xxx.xxx[4500]
13 июня 12:54:34 vpn-instance charon: 16[MGR] checkin IKE_SA ipsec-ikev2-vpn[7]
13 июня 12:54:34 vpn-instance charon: 16[MGR] регистрация IKE_SA прошла успешно
13 июня 12:54:34 vpn-instance charon: 04[NET] отправка пакета: с 10.152.0.2[4500] на xxx.xxx.xxx.xxx[4500]
13 июня, 12:54:34 vpn-instance charon: 06[MGR] checkout IKEv2 SA с SPI 25159daea9f11f1d_i 64799938fac7977c_r
13 июня 12:54:34 vpn-instance charon: 06[MGR] IKE_SA ipsec-ikev2-vpn[8] успешно проверен
13 июня, 12:54:34 vpn-instance charon: 06[IKE] отправляет подтверждение активности на xxx.xxx.xxx.xxx[4500]
13 июня 12:54:34 vpn-instance charon: 06[MGR] checkin IKE_SA ipsec-ikev2-vpn[8]
13 июня 12:54:34 vpn-instance charon: 06[MGR] регистрация IKE_SA прошла успешно
13 июня 12:54:34 vpn-instance charon: 04[NET] отправка пакета: с 10.152.0.2[4500] на xxx.xxx.xxx.xxx[4500]
13 июня, 12:54:44 vpn-instance charon: 05[MGR] проверка IKEv2 SA с SPI e2706de3b7c70401_i 3ff8ef2239e91120_r
13 июня 12:54:44 vpn-instance charon: 05[MGR] IKE_SA ipsec-ikev2-vpn[7] успешно проверен
13 июня 12:54:44 vpn-instance charon: 05[JOB] удаление полуоткрытого IKE_SA с xxx.xxx.xxx.xxx после тайм-аута
13 июня 12:54:44 vpn-instance charon: 05[MGR] зарегистрируйтесь и уничтожьте IKE_SA ipsec-ikev2-vpn[7]
13 июня 12:54:44 vpn-instance charon: 05[IKE] IKE_SA ipsec-ikev2-vpn[7] изменение состояния: ПОДКЛЮЧЕНИЕ => УНИЧТОЖЕНИЕ
13 июня 12:54:44 vpn-instance charon: 05[MGR] проверка и уничтожение IKE_SA успешно
13 июня, 12:54:44 vpn-instance charon: 07[MGR] checkout IKEv2 SA с SPI 25159daea9f11f1d_i 64799938fac7977c_r
13 июня 12:54:44 vpn-instance charon: 07[MGR] IKE_SA ipsec-ikev2-vpn[8] успешно проверен
13 июня 12:54:44 vpn-instance charon: 07[JOB] удаление полуоткрытого IKE_SA с xxx.xxx.xxx.xxx после тайм-аута
13 июня 12:54:44 vpn-instance charon: 07[MGR] зарегистрируйтесь и уничтожьте IKE_SA ipsec-ikev2-vpn[8]
13 июня 12:54:44 vpn-instance charon: 07[IKE] IKE_SA ipsec-ikev2-vpn[8] изменение состояния: ПОДКЛЮЧЕНИЕ => УНИЧТОЖЕНИЕ
13 июня 12:54:44 vpn-instance charon: 07[MGR] проверка и уничтожение IKE_SA успешно
13 июня, 12:54:54 vpn-instance charon: 08[MGR] проверка IKEv2 SA с SPI e2706de3b7c70401_i 3ff8ef2239e91120_r
13 июня 12:54:54 vpn-instance charon: 08[MGR] Проверка IKE_SA не удалась
13 июня, 12:54:54 vpn-instance charon: 09[MGR] checkout IKEv2 SA с SPI 25159daea9f11f1d_i 64799938fac7977c_r
13 июня 12:54:54 vpn-instance charon: 09[MGR] Проверка IKE_SA не удалась

Пожалуйста, дайте мне знать, что может быть не так?

Редактировать Я добавил больше вывода системного журнала выше, когда я пытаюсь подключиться из своего журнала.

Здесь /etc/ipsec.conf конфигурация:

настройка конфигурации
  charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2"
  строгая политика = нет
  уникальные идентификаторы = да
  cachecrls=нет

соединение ipsec-ikev2-vpn
  авто=добавить
  сжать=нет
  тип=туннель
  обмен ключами=ikev2
  фрагментация=да
  форсэнкапс=да
  dpdaction=очистить
  dpddelay=300 с
  ключ = нет
  слева=% любой
  левый идентификатор = хх.ххх.ххх.219
  leftcert=сервер.cert.pem
  leftsendcert=всегда
  левая подсеть=0.0.0.0/0
  справа=%любой
  правый ID=%любой
  правая авторизация = eap-mschapv2
  исходный код=192.168.0.0/24
  rightdns=8.8.8.8 # DNS для назначения клиентам
  rightsendcert=никогда
  eap_identity=%идентификация

Конфигурация MacOS VPN — это просто адрес сервера и удаленный идентификатор, являющийся IP-адресом сервера Ubuntu и соответствующими настройками аутентификации, которые представляют собой имя пользователя и пароль, которые я установил в /etc/ipsec.secrets.

Я не мог видеть никаких событий, связанных с vpn, в журналах Macbook, таких как racoon.log или же ppp.log. Также трудно найти информацию о журналах MacOS VPN в сети, поэтому выяснить эту проблему было сложно. Где еще журналы IKEv2 VPN могут быть в BigSur?

Решено Пришлось убедиться, что имя пользователя и пароль правильно применены в настройках аутентификации Mac IKEv2.

Ginnungagap avatar
флаг gu
У вас нет журналов демона raccoon на стороне macOS, чтобы понять, что не получается, ваши журналы StrongSwan скудны, и вы пытаетесь выполнить отладку, и вы не показали свою конфигурацию StrongSwan и настройку VPN на стороне macOS. У меня есть клиенты macOS, которые без проблем подключаются к рабочим серверам StrongSwan, поэтому я уверен, что дело не в клиенте Ubuntu. Пожалуйста, публикуйте полную и актуальную информацию и включите подробные журналы StrongSwan, чтобы отслеживать фактическое поведение. Мое лучшее предположение как есть связано с отсутствием ЦС в цепочке системных ключей или с неиспользованием EAP TLS.
флаг br
@Ginnungagap Я обновил вопрос в соответствии с вашими комментариями. Он начал работать после того, как я повторно добавил аутентификацию. Оно продолжало исчезать.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.