Настройка VPN Ubuntu 15.10

@sheackspear · Регистрация: 18.06.2013

Студворк — интернет-сервис помощи студентам

Добрый вечер.
Возникла задача настроить VPN от клиента на Windows 7 и сервер на Ubuntu 15.10.
На сервере установлен strongswan 5.3. Установка соединения с использованием IKEV2 и использование
сертификатов. Пока сервер и клиент на виртуальных тачках.
Настроил. Сгенерировал и подписал сертификаты.
Не хочет создавать подключение.На клиенте выдает ошибку IKE
На сервере в логах пишет следующее:
[C]
Dec 9 15:16:29 user-VirtualBox charon: 10[NET] received packet: from 192.168.180.140[500] to 192.168.180.210[500] (792 bytes)
Dec 9 15:16:29 user-VirtualBox charon: 10[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
Dec 9 15:16:29 user-VirtualBox charon: 10[IKE] 192.168.180.140 is initiating an IKE_SA
Dec 9 15:16:29 user-VirtualBox charon: 10[IKE] IKE_SA (unnamed)[4] state change: CREATED => CONNECTING
Dec 9 15:16:29 user-VirtualBox charon: 10[IKE] sending cert request for "C=ua, ST=ua, L=ua, O=ua, OU=ua, CN=ua, E=ua"
Dec 9 15:16:29 user-VirtualBox charon: 10[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(MULT_AUTH) ]
Dec 9 15:16:29 user-VirtualBox charon: 10[NET] sending packet: from 192.168.180.210[500] to 192.168.180.140[500] (333 bytes)
Dec 9 15:16:29 user-VirtualBox charon: 12[NET] received packet: from 192.168.180.140[4500] to 192.168.180.210[4500] (1756 bytes)
Dec 9 15:16:29 user-VirtualBox charon: 12[ENC] parsed IKE_AUTH request 1 [ IDi CERT CERTREQ AUTH N(MOBIKE_SUP) CPRQ(ADDR DNS NBNS SRV) SA TSi TSr ]
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] received cert request for "C=ua, ST=ua, L=ua, O=ua, OU=ua, CN=ua, E=ua"
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] received 23 cert requests for an unknown ca
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] received end entity cert "C=ua, ST=ua, O=ua, OU=client, CN=client, E=ua"
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] authentication of 'C=ua, ST=ua, O=ua, OU=client, CN=client, E=ua' with RSA signature successful
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] processing INTERNAL_IP4_ADDRESS attribute
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] processing INTERNAL_IP4_DNS attribute
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] processing INTERNAL_IP4_NBNS attribute
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] processing INTERNAL_IP4_SERVER attribute
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] peer supports MOBIKE
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] authentication of 'C=ua, ST=ua, O=ua, OU=ua, CN=ua, E=uaua' (myself) with RSA signature successful
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] IKE_SA rw[4] established between 192.168.180.210[C=ua, ST=ua, O=ua, OU=ua, CN=ua, E=uaua]...192.168.180.140[C=ua, ST=ua, O=ua, OU=client, CN=client, E=ua]
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] IKE_SA rw[4] state change: CONNECTING => ESTABLISHED
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] scheduling reauthentication in 3314s
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] maximum IKE_SA lifetime 3494s
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] sending end entity cert "C=ua, ST=ua, O=ua, OU=ua, CN=ua, E=uaua"
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] peer requested virtual IP %any
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] assigning virtual IP 20.1.1.1 to peer 'C=ua, ST=ua, O=ua, OU=client, CN=client, E=ua'
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] no acceptable proposal found
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] failed to establish CHILD_SA, keeping IKE_SA
Dec 9 15:16:29 user-VirtualBox charon: 12[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH CPRP(ADDR) N(AUTH_LFT) N(MOBIKE_SUP) N(NO_ADD_ADDR) N(NO_PROP) ]
Dec 9 15:16:29 user-VirtualBox charon: 12[NET] sending packet: from 192.168.180.210[4500] to 192.168.180.140[4500] (1156 bytes)
Dec 9 15:16:30 user-VirtualBox charon: 13[NET] received packet: from 192.168.180.140[500] to 192.168.180.210[500] (792 bytes)
Dec 9 15:16:30 user-VirtualBox charon: 13[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
Dec 9 15:16:30 user-VirtualBox charon: 13[IKE] 192.168.180.140 is initiating an IKE_SA
Dec 9 15:16:30 user-VirtualBox charon: 13[IKE] IKE_SA (unnamed)[5] state change: CREATED => CONNECTING
Dec 9 15:16:30 user-VirtualBox charon: 13[IKE] sending cert request for "C=ua, ST=ua, L=ua, O=ua, OU=ua, CN=ua, E=ua"
Dec 9 15:16:30 user-VirtualBox charon: 13[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(MULT_AUTH) ]
Dec 9 15:16:30 user-VirtualBox charon: 13[NET] sending packet: from 192.168.180.210[500] to 192.168.180.140[500] (333 bytes)
Dec 9 15:16:30 user-VirtualBox charon: 05[NET] received packet: from 192.168.180.140[4500] to 192.168.180.210[4500] (1756 bytes)
Dec 9 15:16:30 user-VirtualBox charon: 05[ENC] parsed IKE_AUTH request 1 [ IDi CERT CERTREQ AUTH N(MOBIKE_SUP) CPRQ(ADDR DNS NBNS SRV) SA TSi TSr ]
Dec 9 15:16:30 user-VirtualBox charon: 05[IKE] received cert request for "C=ua, ST=ua, L=ua, O=ua, OU=ua, CN=ua, E=ua"
Dec 9 15:16:30 user-VirtualBox charon: 05[IKE] received cert request for unknown ca with keyid a7:1e:95:83:1f:65:5a:d9:76:99:34:22:27:f c:b8:c6:ef:78:53:e0
Dec 9 15:16:30 user-VirtualBox charon: 05[IKE] received 23 cert requests for an unknown ca
Dec 9 15:16:30 user-VirtualBox charon: 05[IKE] received end entity cert "C=ua, ST=ua, O=ua, OU=client, CN=client, E=ua"
Dec 9 15:16:30 user-VirtualBox charon: 05[IKE] authentication of 'C=ua, ST=ua, O=ua, OU=client, CN=client, E=ua' with RSA signature successful
Dec 9 15:16:30 user-VirtualBox charon: 05[IKE] processing INTERNAL_IP4_ADDRESS attribute
Dec 9 15:16:30 user-VirtualBox charon: 05[IKE] processing INTERNAL_IP4_DNS attribute
Dec 9 15:16:30 user-VirtualBox charon: 05[IKE] processing INTERNAL_IP4_NBNS attribute
Dec 9 15:16:30 user-VirtualBox charon: 05[IKE] processing INTERNAL_IP4_SERVER attribute
Dec 9 15:16:30 user-VirtualBox charon: 05[IKE] peer supports MOBIKE
Dec 9 15:16:30 user-VirtualBox charon: 05[IKE] authentication of 'C=ua, ST=ua, O=ua, OU=ua, CN=ua, E=uaua' (myself) with RSA signature successful
Dec 9 15:16:30 user-VirtualBox charon: 05[IKE] IKE_SA rw[5] established between 192.168.180.210[C=ua, ST=ua, O=ua, OU=ua, CN=ua, E=uaua]...192.168.180.140

C
1
2
3
4
5
6
7
8
9
Dec  9 15:16:30 user-VirtualBox charon: 05[IKE] IKE_SA rw[5] state change: CONNECTING => ESTABLISHED
Dec  9 15:16:30 user-VirtualBox charon: 05[IKE] scheduling reauthentication in 3346s
Dec  9 15:16:30 user-VirtualBox charon: 05[IKE] maximum IKE_SA lifetime 3526s
Dec  9 15:16:30 user-VirtualBox charon: 05[IKE] sending end entity cert "C=ua, ST=ua, O=ua, OU=ua, CN=ua, E=uaua"
Dec  9 15:16:30 user-VirtualBox charon: 05[IKE] peer requested virtual IP %any
Dec  9 15:16:30 user-VirtualBox charon: 05[IKE] assigning virtual IP 20.1.1.2 to peer 'C=ua, ST=ua, O=ua, OU=client, CN=client, E=ua'
Dec  9 15:16:30 user-VirtualBox charon: 05[IKE] no acceptable proposal found
Dec  9 15:16:30 user-VirtualBox charon: 05[IKE] failed to establish CHILD_SA, keeping IKE_SA
Dec  9 15:16:30 user-VirtualBox charon: 05[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH CPRP(ADDR) N(AUTH_LFT) N(MOBIKE_SUP) N(NO_ADD_ADDR) N(NO_PROP) ]

Вот пример конфигурационных файлов
Ipsec.conf

C
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
config setup  # данная секция определяет базовые параметры
       strictcrlpolicy=no
       charondebug="ike 2, knl 3, cfg 0"
conn %default  # определяет базовые параметры всех IPSEC-соединений
     ikelifetime=60m
     keylife=20m
     rekeymargin=3m
     keyingtries=1
     dpdaction=restart
     dpddelay=30s
     dpdtimeout=180s
conn rw # название IPSEC-соединения
  left=192.168.180.210 # адрес внешнего интерфейса
  leftauth=pubkey # говорим, что мы авторизуемся у клиент с помощью сертификата RSA
  right=%any # к нам можно подключиться с любого IP
  rightauth=pubkey # клиент авторизуется у нас по сертификату RSA
  rightsourceip=20.1.1.1/12  # из этого пула будет выдаваться IP-адрес для клиента
  auto=add # подключение будет инициироваться клиентом
  keyexchange=ikev2
  type=tunnel

strongswan.conf

C
1
2
3
charon {
    load_modular = curl test-vectors aes des sha1 sha2 md5 pem pkcs1 gmp random x509 revocation hmac xcbc cmac ctr ccm gcm stroke kernel-netlink socket-default updown eap-identity
}

openssl.cnf

C
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
HOME            = .
RANDFILE        = $ENV::HOME/.rnd
# Extra OBJECT IDENTIFIER info:
#oid_file       = $ENV::HOME/.oid
oid_section     = new_oids
[ new_oids ]
tsa_policy1 = 1.2.3.4.1
tsa_policy2 = 1.2.3.4.5.6
tsa_policy3 = 1.2.3.4.5.7
####################################################################
[ ca ]
default_ca  = CA_default        # The default ca section
####################################################################
[ CA_default ]
 
dir     = /usr/local/etc/ipsec.d # Where everything is kept
certs       = $dir/certs        # Where the issued certs are kept
crl_dir     = $dir/crl      # Where the issued crl are kept
database    = $dir/index.txt    # database index file.
new_certs_dir   = $dir/newcerts     # default place for new certs.
certificate = $dir/cacerts/strongswanCert.pem   # The CA certificate
serial      = $dir/serial       # The current serial number
crlnumber   = $dir/crlnumber    
crl     = $dir/crl.pem      # The current CRL
private_key = $dir/private/strongswanKey.pem# The private key
RANDFILE    = $dir/private/.rand    # private random number file
#subjectAltName=IP:192.168.180.210
x509_extensions = usr_cert      # The extentions to add to the cert
 
# Comment out the following two lines for the "traditional"
# (and highly broken) format.
name_opt    = ca_default        # Subject Name options
cert_opt    = ca_default        # Certificate field options
default_days    = 365           # how long to certify for
default_crl_days= 30            # how long before next CRL
default_md  = default       # use public key default MD
preserve    = no            # keep passed DN ordering
policy      = policy_match
# For the CA policy
[ policy_match ]
countryName     = match
stateOrProvinceName = match
organizationName    = match
organizationalUnitName  = optional
commonName      = supplied
emailAddress        = optional
[ policy_anything ]
countryName     = optional
stateOrProvinceName = optional
localityName        = optional
organizationName    = optional
organizationalUnitName  = optional
commonName      = supplied
emailAddress        = optional
[ req ]
default_bits        = 2048
default_keyfile     = privkey.pem
distinguished_name  = req_distinguished_name
attributes      = req_attributes
x509_extensions = v3_ca # The extentions to add to the self signed cert
string_mask = utf8only
[ req_distinguished_name ]
countryName         = Country Name (2 letter code)
countryName_default     = AU
countryName_min         = 2
countryName_max         = 2
stateOrProvinceName     = State or Province Name (full name)
stateOrProvinceName_default = Some-State
 
localityName            = Locality Name (eg, city)
 
0.organizationName      = Organization Name (eg, company)
0.organizationName_default  = Internet Widgits Pty Ltd
organizationalUnitName      = Organizational Unit Name (eg, section)
 
commonName          = Common Name (e.g. server FQDN or YOUR name)
commonName_max          = 64
 
emailAddress            = Email Address
emailAddress_max        = 64
 
# SET-ex3           = SET extension number 3
 
[ req_attributes ]
challengePassword       = A challenge password
challengePassword_min       = 4
challengePassword_max       = 20
 
unstructuredName        = An optional company name
 
[ usr_cert ]
basicConstraints=CA:FALSE
nsComment           = "OpenSSL Generated Certificate"
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer
 
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
 
[ v3_ca ]
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer
basicConstraints = CA:true
[ crl_ext ]
authorityKeyIdentifier=keyid:always
 
[ proxy_cert_ext ]
basicConstraints=CA:FALSE
nsComment           = "OpenSSL Generated Certificate"
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer
proxyCertInfo=critical,language:id-ppl-anyLanguage,pathlen:3,policy:foo
[ tsa ]
 
default_tsa = tsa_config1   # the default TSA section
 
[ tsa_config1 ]
 
# These are used by the TSA reply generation only.
dir     = ./demoCA      # TSA root directory
serial      = $dir/tsaserial    # The current serial number (mandatory)
crypto_device   = builtin       # OpenSSL engine to use for signing
signer_cert = $dir/tsacert.pem  # The TSA signing certificate
                    # (optional)
certs       = $dir/cacert.pem   # Certificate chain to include in reply
                    # (optional)
signer_key  = $dir/private/tsakey.pem # The TSA private key (optional)
 
default_policy  = tsa_policy1       # Policy if request did not specify it
                    # (optional)
other_policies  = tsa_policy2, tsa_policy3  # acceptable policies (optional)
digests     = md5, sha1     # Acceptable message digests (mandatory)
accuracy    = secs:1, millisecs:500, microsecs:100  # (optional)
clock_precision_digits  = 0 # number of digits after dot. (optional)
ordering        = yes   # Is ordering defined for timestamps?
                # (optional, default: no)
tsa_name        = yes   # Must the TSA name be included in the reply?
                # (optional, default: no)
ess_cert_id_chain   = no    # Must the ESS cert id chain be included?
                # (optional, default: no)

@sheackspear · 27.01.2016, 11:10 **[ТС]**

Может комуто полезно будет. проблема была в настройке клиента. Там в регистре надо было добавить значение что бы он не полностью проверядл сертификат

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Desktop (MinGW): Рисуем цветные прямоугольники с помощью рисовальщика SDL3 на Си и C++ 8Observer8 17.03.2026 Содержание блога Финальные проекты на Си и на C++: finish-rectangles-sdl3-c. zip finish-rectangles-sdl3-cpp. zip	Символические и жёсткие ссылки в Linux. algri14 15.03.2026 Существует два типа ссылок — символические и жёсткие. Ссылка в Linux — это запись в каталоге, которая может указывать либо на inode «файла-ИСТОЧНИКА», тогда это будет «жёсткая ссылка» (hard link),. . .	[Owen Logic] Поддержание уровня воды в резервуаре количеством включённых насосов: моделирование и выбор регулятора ФедосеевПавел 14.03.2026 Поддержание уровня воды в резервуаре количеством включённых насосов: моделирование и выбор регулятора ВВЕДЕНИЕ Выполняя задание на управление насосной группой заполнения резервуара,. . .	делаю науч статью по влиянию грибов на сукцессию anaschu 13.03.2026 прикрепляю статью
SDL3 для Desktop (MinGW): Создаём пустое окно с нуля для 2D-графики на SDL3, Си и C++ 8Observer8 10.03.2026 Содержание блога Финальные проекты на Си и на C++: hello-sdl3-c. zip hello-sdl3-cpp. zip Результат:	Установка CMake и MinGW 13.1 для сборки С и C++ приложений из консоли и из Qt Creator в EXE 8Observer8 10.03.2026 Содержание блога MinGW - это коллекция инструментов для сборки приложений в EXE. CMake - это система сборки приложений. Здесь описаны базовые шаги для старта программирования с помощью CMake и. . .	Как дизайн сайта влияет на конверсию: 7 решений, которые реально повышают заявки Neotwalker 08.03.2026 Многие до сих пор воспринимают дизайн сайта как “красивую оболочку”. На практике всё иначе: дизайн напрямую влияет на то, оставит человек заявку или уйдёт через несколько секунд. Даже если у вас. . .	Модульная разработка через nuget packages DevAlt 07.03.2026 Сложившийся в . Net-среде способ разработки чаще всего предполагает монорепозиторий в котором находятся все исходники. При создании нового решения, мы просто добавляем нужные проекты и имеем. . .

@sheackspear 5 / 5 / 1 Регистрация: 18.06.2013 Сообщений: 32
	27.01.2016, 11:10 [ТС]
	Может комуто полезно будет. проблема была в настройке клиента. Там в регистре надо было добавить значение что бы он не полностью проверядл сертификат 0