Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio VPN

Важная информация

Ответ
 
Опции темы
Старый 17.04.2020, 17:09   #1
Gamaliaka
 
Аватар для Gamaliaka
 
Регистрация: 27.02.2014
Адрес: г.Череповец
Сообщений: 2
По умолчанию ipsec strongswan и kerio - ID mismatch

Добрый день, подскажите пожалуйста по настройкам:
Есть керио контрол 9.3.4 build 3795
внешний ip - статика
И есть vps на centos 8 с развернутым strongswan
Получилось настроить телефоны на android для подключения IKEv2 через сертификат и Windows через логин/пароль, но никак не могу подружить с ним керио ни через сертификат ни через psk.
Керио в логах постоянно пишет IPsec: Failed to establish connection with remote endpoint ***.***.***.***: ID mismatch



В настройках чего уже только не пробовал (ipsec.conf):

conn Kerio-Control-office
keyexchange=ikev2
auto=add
authby=secret
ike=aes128-sha1-modp2048,3des-sha1-modp1536!
esp=aes128-sha1,3des-sha1!
left=%any
leftid=vpnud
leftsubnet=0.0.0.0/0
right=%any
rightid=control
rightdns=8.8.8.8,8.8.4.4
rightsourceip=10.20.30.0/24


В настройках соединения керио:
Локальный ИД - control
Отдаленный ИД - vpnud

Пробовал прямые ip прописывать и в ipsec.conf и в ИД соединения
С сертификатом такая же ошибка.
IKEv2 в керио включено по данному руководству - [Для просмотра данной ссылки нужно зарегистрироваться]

Последний раз редактировалось Gamaliaka; 18.04.2020 в 19:25.
Gamaliaka вне форума   Ответить с цитированием Вверх
Старый 18.04.2020, 20:18   #2
Gamaliaka
 
Аватар для Gamaliaka
 
Регистрация: 27.02.2014
Адрес: г.Череповец
Сообщений: 2
По умолчанию Re: ipsec strongswan и kerio - ID mismatch

разобрался с ID mismatch :
на удаленный сервер vpn закинул сертификат Керио, который сделал в закладке SSL сертификаты и в ipsec.conf переписал правила на:

conn Kerio-Control-Sertificate
keyexchange=ikev2
auto=add
leftid="CN=vpn.name.ru, O=TT, C=RU" - точное наименование строки "отдаленный ИД" из настроек vpn тунеля в керио
rightcert=KerioOfficeVPN.crt - сертификат керио положенный по адресу - /etc/strongswan/ipsec.d/certs/


Теперь появилась следующая ошибка: IP/Route configuration mismatch
Я так понимаю, что нужно правильно прописать удаленные сети в настройках VPN в керио, но не понимаю что конкретно туда нужно прописать.
Просто за удаленным сервером нет локальной сети и интерфейс единственный с публичным адресом.



Общие настройки из ipsec.conf:
conn %default
ike=aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!
esp=aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1-modp2048,aes128-sha1-modp1024,3des-sha1-modp1024,aes128-aes256-sha1-sha256,aes128-sha1,3des-sha1!
left=%any
leftid=vpn.name.ru
leftauth=pubkey
leftcert=VPNCert.der
leftsendcert=always
leftsubnet=0.0.0.0/0
right=%any
rightauth=pubkey
rightsourceip=10.20.40.0/24
rightdns=8.8.8.8,8.8.4.4

Добавлено через 1 час 1 минуту

Всем спасибо за поддержку, разобрался
Керио нужно было прописать в удаленные сети сеть из rightsourceip=10.20.40.0/24
И в файле ipsec.conf добавить к conn Kerio-Control-Sertificate строчку с описанием офисной локальной сети - rightsubnet="10.1.2.0/24" и все заработало.
Очень помогли настройки ipsec.conf в самом керио, лежат по адресу /var/etc/ipsec.conf

Последний раз редактировалось Gamaliaka; 18.04.2020 в 20:18. Причина: Добавлено сообщение
Gamaliaka вне форума   Ответить с цитированием Вверх
Старый 18.04.2020, 20:34   #3
exchar
Пользователь
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 4,807
По умолчанию Re: ipsec strongswan и kerio - ID mismatch

Цитата
Сообщение от Gamaliaka Посмотреть сообщение
Всем спасибо за поддержку
тонко, оценил
не вопрос, пеши исчо
главное диалог монолог получился конструктивный
и спасибо за то, что выложил решение вопроса.
Цитата
Сообщение от Gamaliaka Посмотреть сообщение
подскажите пожалуйста по настройкам
с ipsec сейчас очень редко сталкиваюсь - просто нечего было посоветовать.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 13.07.2020, 16:08   #4
Strannik
Навичёг
 
Аватар для Strannik
 
Регистрация: 03.05.2007
Адрес: Спб
Сообщений: 29
По умолчанию Re: ipsec strongswan и kerio - ID mismatch

Добрый день.
Такая же ошибка
IP/Route configuration mismatch при установке Ipsec VPN
не совсем понял , что надо прописать в удаленные сети на Керио.
параметра rightsourceip в файле ipsec.conf у меня нет.
Не могли бы вы пояснить как решили проблему?
Заранее спасибо.
Strannik вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 06:54. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2020, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях