ipsec strongswan и kerio - ID mismatch

[Gamaliaka]

Добрый день, подскажите пожалуйста по настройкам:
Есть керио контрол 9.3.4 build 3795
внешний ip - статика
И есть vps на centos 8 с развернутым strongswan
Получилось настроить телефоны на android для подключения IKEv2 через сертификат и Windows через логин/пароль, но никак не могу подружить с ним керио ни через сертификат ни через psk.
Керио в логах постоянно пишет IPsec: Failed to establish connection with remote endpoint ***.***.***.***: ID mismatch



В настройках чего уже только не пробовал (ipsec.conf):

conn Kerio-Control-office
keyexchange=ikev2
auto=add
authby=secret
ike=aes128-sha1-modp2048,3des-sha1-modp1536!
esp=aes128-sha1,3des-sha1!
left=%any
leftid=vpnud
leftsubnet=0.0.0.0/0
right=%any
rightid=control
rightdns=8.8.8.8,8.8.4.4
rightsourceip=10.20.30.0/24


В настройках соединения керио:
Локальный ИД - control
Отдаленный ИД - vpnud

Пробовал прямые ip прописывать и в ipsec.conf и в ИД соединения
С сертификатом такая же ошибка.
IKEv2 в керио включено по данному руководству - [Для просмотра данной ссылки нужно зарегистрироваться]

[Gamaliaka]

разобрался с ID mismatch :
на удаленный сервер vpn закинул сертификат Керио, который сделал в закладке SSL сертификаты и в ipsec.conf переписал правила на:

conn Kerio-Control-Sertificate
keyexchange=ikev2
auto=add
leftid="CN=vpn.name.ru, O=TT, C=RU" - точное наименование строки "отдаленный ИД" из настроек vpn тунеля в керио
rightcert=KerioOfficeVPN.crt - сертификат керио положенный по адресу - /etc/strongswan/ipsec.d/certs/


Теперь появилась следующая ошибка: IP/Route configuration mismatch
Я так понимаю, что нужно правильно прописать удаленные сети в настройках VPN в керио, но не понимаю что конкретно туда нужно прописать.
Просто за удаленным сервером нет локальной сети и интерфейс единственный с публичным адресом.



Общие настройки из ipsec.conf:
conn %default
ike=aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!
esp=aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1-modp2048,aes128-sha1-modp1024,3des-sha1-modp1024,aes128-aes256-sha1-sha256,aes128-sha1,3des-sha1!
left=%any
leftid=vpn.name.ru
leftauth=pubkey
leftcert=VPNCert.der
leftsendcert=always
leftsubnet=0.0.0.0/0
right=%any
rightauth=pubkey
rightsourceip=10.20.40.0/24
rightdns=8.8.8.8,8.8.4.4

Добавлено через 1 час 1 минуту

Всем спасибо за поддержку, разобрался
Керио нужно было прописать в удаленные сети сеть из rightsourceip=10.20.40.0/24
И в файле ipsec.conf добавить к conn Kerio-Control-Sertificate строчку с описанием офисной локальной сети - rightsubnet="10.1.2.0/24" и все заработало.
Очень помогли настройки ipsec.conf в самом керио, лежат по адресу /var/etc/ipsec.conf

[exchar]

Цитата

Сообщение от Gamaliaka

Всем спасибо за поддержку

тонко, оценил
не вопрос, пеши исчо
главное диалог монолог получился конструктивный
и спасибо за то, что выложил решение вопроса.

Цитата

Сообщение от Gamaliaka

подскажите пожалуйста по настройкам

с ipsec сейчас очень редко сталкиваюсь - просто нечего было посоветовать.

[Strannik]

Добрый день.
Такая же ошибка
IP/Route configuration mismatch при установке Ipsec VPN
не совсем понял , что надо прописать в удаленные сети на Керио.
параметра rightsourceip в файле ipsec.conf у меня нет.
Не могли бы вы пояснить как решили проблему?
Заранее спасибо.