IPsec VPN через Strongswan: ошибка авторизации
Пробую поднять IPsec IKEv2 VPN, на обоих концах Strongswan, авторизация через сертификаты X.509. При подключении приходит отлуп с AUTH_FAILED на IKE_AUTH request 1. Со стороны сервера CA сертификат подгружается нормально, в логах нет явных сообщений про неизвестные сертификаты.
Как это всё пофиксить? IPsec настраиваю второй раз, мб что-то простое пропустил.
Ниже 1.2.3.4 – внешний IP сервера, 5.6.7.8 – внешний IP клиента, 192.168.0.2 – внутренний IP клиента, 192.168.0.100 – внутренний IP сервера.
edit: добавил лог с сервера
Хм, а так можно было оказывается.
Покажите лог с сервера.
Хм, а так можно было оказывается.
Забыл сразу добавить, отредактировал пост.
Та я как-то привык к ipsec.conf
От оно:
server charon[994]: 15[CFG] no matching peer config found
Не совсем понял, это для клиента указать? А куда тогда адрес сервера вбивать?
Если для клиента, то это вроде дефолт для swanctl-стиля (я так понимаю, что left и right соответствуют connections. .local_addrs и connections. .remote_addrs ). Я практически без изменений брал конфиг с официальной вики (Roadwarrior scenario → swanctl.conf).
Я предполагал, что это в порядке вещей, т.к. айпи клиента неизвестен, так что конфиг пира генерируется. Видимо, это не так. Как тогда быть? Получается, надо каким-то образом на сервере указать, чтобы принимался ID типа CN=client ?
Почти. Ему надо на основании «чего-то» решить, что вот этот кусок конфига относиться к этому клиенту. Но наискосок в мане чего-то аналогичного leftid | rightid в ipsec.conf и keyexchange не обнаружил. 🙁
Это для сервера.
В swanctl.conf можно указать connections. .remote.id , похоже, он работает как rightid для ipsec.conf . Пробовал указывать конкретный id клиента, но увы, всё та же ошибка.
Видимо, попробую переписать серверный конфиг в ipsec.conf-стиле: я как раз думал, что все уже много лет назад пересели на swanctl, а вот оно что.
попробую переписать серверный конфиг в ipsec.conf-стиле
На всякий случай кусок из моего ipsec.conf
я как раз думал, что все уже много лет назад пересели на swanctl
Точно не все 🙂 Я последний раз правил ipsec.conf всего два дня назад 🙂 И пока его не выпилят окончательно, менять конфиги желания ровно ноль. У меня там достаточно секций под разные соединения, пусть не всё уже нужно, но мало ли.
Спасибо! Правда, мне по идее смысла матчить так нет: CA тестовый, поэтому я заполнил только CN и SAN. А для продакшена, конечно, полезно по OU фильтровать.
Кроме того, я переписал почти один в один серверный конфиг:
И, о чудо, авторизация заработала. Видимо, этот swanctl это какая-то сырая (несмотря на заверения в официальных доках) штука.
А для продакшена, конечно, полезно по OU фильтровать.
Для себя любимого тоже полезно. Я в OU фильтрую по разным реализациям клиентов. Например для blackbery одно, для mac os x другое и т.д.
Видимо, этот swanctl это какая-то сырая (несмотря на заверения в официальных доках) штука.
Может и так. А может документацию не дописали. 😉
Я в OU фильтрую по разным реализациям клиентов.
Отличная идея, не думал о таком варианте.
Ага. Сама проблема в том, что это в лебеде вы можете настроить усе что угодно, а готовые реализации клиентов зачастую содержат захардкоженные наборы параметров. macOS одно, офтопик другое и т.д. Вот и приходиться под них подстраиваться.
Как оказалось, я просто невнимательно читал доки, а решение вполне есть. Разгадка в том, что при ipsec.conf-стиле с обоих сторон клиент отправляет ID сервера по дефолту в виде его IP, а сервер принимает всё. В случае с swanctl, сервер ожидает ID в виде DN его сертификата, что в чем-то более логично. swanctl-клиент также отправит ID сервера как DN серверного сертификата, полученного в результате предыдущего запроса.
Таким образом, если хочется оставить swanctl на сервере и ipsec.conf на клиенте (оригинальная задача), то достаточно на клиенте добавить rightid=»CN=1.2.3.4″ ( 1.2.3.4 – IP сервера). Или можно воспользоваться недокументированной особенностью и прописать local.id = %any на сервере. При использовании swanctl с обоих сторон специально прописывать local.id и remote.id не нужно.
Со своей стороны я решил использовать ipsec.conf с обоих сторон, т.к. swanctl выглядит гибче (мне это пока ненужно), но геморнее (например, убунтовый AppArmor по дефолту режет swanctl так, что он не загружает никаких соединений на старте системы, нужно руками делать —load-all ).
anc если вдруг интересно
Источник
CHR — RB951g ipsec vpn
Все новые темы
| Автор | ||||
|---|---|---|---|---|
| chastener подпись на выбор, в личку sklifу Зарегистрирован: 29.06.2011
|
|
|||
| Вернуться к началу |
|
|||
 |
||||
| Зарегистрируйтесь и реклама исчезнет!
|
||||
|
||||
| karavan750 Житель sysadmins
Зарегистрирован: 22.01.2016 |
|
|||
| Вернуться к началу |
|
|||
|
||||
| chastener подпись на выбор, в личку sklifу Зарегистрирован: 29.06.2011
|
|
|||
| Вернуться к началу |
|
|||
|
||||
| karavan750 Житель sysadmins
Зарегистрирован: 22.01.2016 |
|
|||
| Вернуться к началу |
|
|||
|
||||
| chastener подпись на выбор, в личку sklifу Зарегистрирован: 29.06.2011
|
|
|||
| Вернуться к началу |
|
|||
|
||||
| karavan750 Житель sysadmins
Зарегистрирован: 22.01.2016 |
|
|||
| Вернуться к началу |
|
|||
|
||||
| chastener подпись на выбор, в личку sklifу Зарегистрирован: 29.06.2011 Источник Adblock |
Ваш текст переведен частично.
Вы можете переводить не более 999 символов за один раз.
Войдите или зарегистрируйтесь бесплатно на PROMT.One и переводите еще больше!
<>
error report
существительное
мн.
error reports
Контексты
If an error report contains personal data, we won’t use that information to identify, contact, or target advertising to you.
Если отчет об ошибках содержит личные данные, корпорация Майкрософт не использует эти сведения для идентификации личности пользователя, попыток установить с ним связь или отправки рекламных материалов.
When you experience a crash, you may choose to send Microsoft an error report to help us diagnose the problem and deliver customer support.
при возникновении сбоя вы можете отправлять Майкрософт отчет об ошибках, чтобы помочь нам изучить проблему и оказать техническую поддержку.
We provide limited portions of error report information to partners (such as OEMs) to help them troubleshoot products and services which work with Windows and other Microsoft products and services.
Некоторую часть сведений из отчетов об ошибках мы передаем партнерам (например, изготовителям оборудования), чтобы помочь им провести диагностику продуктов и служб, работающих с Windows и другими продуктами и службами Майкрософт.
We provide limited portions of error report information to partners (such as OEMs) to help them troubleshoot products and services which work with Windows and other Microsoft product and services.
Некоторую часть сведений из отчетов об ошибках мы передаем партнерам (например, изготовителям оборудования), чтобы помочь им провести диагностику продуктов и служб, работающих c Windows и другими продуктами и службами Майкрософт.
Upon receipt of data from NCBs, the system automatically applies syntax and validation checks and, depending on the outcome, transmits an acquisition and/or error report back from the ECB to NCBs.
По получении данных от НЦБ система в автоматическом режиме применяет процедуры проверки синтаксиса и подтверждения и в зависимости от результатов передает сообщения о получении и/или ошибках из ЕЦБ НЦБ.
Бесплатный переводчик онлайн с английского на русский
Хотите общаться в чатах с собеседниками со всего мира, понимать, о чем поет Билли Айлиш, читать английские сайты на русском? PROMT.One мгновенно переведет ваш текст с английского на русский и еще на 20+ языков.
Точный перевод с транскрипцией
С помощью PROMT.One наслаждайтесь точным переводом с английского на русский, а для слов и фраз смотрите английскую транскрипцию, произношение и варианты переводов с примерами употребления в разных контекстах. Бесплатный онлайн-переводчик PROMT.One — достойная альтернатива Google Translate и другим сервисам, предоставляющим перевод с английского на русский и с русского на английский.
Нужно больше языков?
PROMT.One бесплатно переводит онлайн с английского на азербайджанский, арабский, греческий, иврит, испанский, итальянский, казахский, китайский, корейский, немецкий, португальский, татарский, турецкий, туркменский, узбекский, украинский, финский, французский, эстонский и японский.
Дорогие пользователи! У нас появился новый форум на платформе tp-link.community (Сообщество)
Форум доступен по ссылке https://community.tp-link.com/ru
Если при регистрации в Сообществе Вы укажете адрес электронный почты, который используете на данном форуме, то Ваши данные будут перенесены на форум Сообщества автоматически.
Также, если на форуме Сообщества Ваш никнейм будет занят, то Вам предложат сменить его или оставить, но с приставкой «_RU».
Подробнее Вы можете прочитать тут: https://community.tp-link.com/ru/home/f … pic/501542
Убедительная просьба не дублировать темы на старом/новом форуме.
-
unclpv
- Сообщения: 4
- Зарегистрирован: 01 ноя 2021, 16:10
- Страна: Россия
VPN L2TP — ошибка WAN: Phase 2 of IKE negotiation failed (Error 14)
При попытке установить VPN соединение по L2TP, в котором роутер TP-Link ER-605 используется в качестве сервера VPN, соединение не устанавливается, а в логах ER-605 появляется сообщение: WAN: Phase 2 of IKE negotiation failed (Peers xxx.xxx.xxx.xxx <-> yyy.yyy.yyy.yyy, Error 14). В чем проблема, в настройках VPN сервера TP-Link ER-605 или VPN-клиента на роутере клиента? Где можно посмотреть описание кодов ошибок? Может ли быть проблема в настройке портов IP, UDP на VPN сервере ER605 ?
-
reaper
- Модератор
- Сообщения: 553
- Зарегистрирован: 03 июн 2017, 20:11
- Страна: Россия
Re: VPN L2TP — ошибка WAN: Phase 2 of IKE negotiation failed (Error 14)
Сообщение
reaper » 21 дек 2021, 19:56
Добрый день.
Описание ошибок нигде к сожалению посмотреть нельзя.
Нужно настроить с нуля VPN на клиенте(компьютере), изменить только настройки подключения с сертификата на общий ключ и прописать этот ключ.
Проверьте на разных ПК.
На ER605 должна стоять последняя версия ПО.
Добрый день!
Собственно, как и следует из названия темы, устройство начинает пробрасывать тоннель, причём, по какой-то непостижимой причине, производится сразу несколько попыток. В результате, соединение успешно устанавливается в рамках одного из согласований, а затем благополучно дропается, т.к. другое не получает ответа от Циски и рубит по тайм-ауту. Что характерно, с самим соединений никаких проблем нет: пакеты ходят, компы друг друга видят, пингуют…
Версия прошивки: v2.08(AAUU.4)C2
Версия Циски: 15.4
Логи Кинетика:
Nov 10 13:15:01ipsec
06[MGR] ignoring request with ID 0, already processing
Nov 10 13:15:08ipsec
16[IKE] remote host is behind NAT
Nov 10 13:15:08ipsec
14[CFG] looking for peer configs matching ZYXEL_IP[%any]...CISCO_IP[192.168.0.2]
Nov 10 13:15:08ipsec
14[CFG] selected peer config 'Test'
Nov 10 13:15:08ipsec
14[IKE] linked key for crypto map 'Test' is not found, still searching
Nov 10 13:15:08ipsec
14[IKE] authentication of '192.168.0.2' with pre-shared key successful
Nov 10 13:15:08ipsec
14[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Nov 10 13:15:08ipsec
14[IKE] linked key for crypto map 'Test' is not found, still searching
Nov 10 13:15:08ipsec
14[IKE] authentication of 'ZYXEL_IP' (myself) with pre-shared key
Nov 10 13:15:08ipsec
14[IKE] IKE_SA Test[4] established between ZYXEL_IP[ZYXEL_IP]...CISCO_IP[192.168.0.2]
Nov 10 13:15:08ipsec
14[IKE] scheduling reauthentication in 3573s
Nov 10 13:15:08ipsec
14[IKE] maximum IKE_SA lifetime 3593s
Nov 10 13:15:08ndm
IpSec::Configurator: crypto map "Test" active IKE SA: 1, active CHILD SA: 0.
Nov 10 13:15:08ipsec
14[CFG] received proposals: ESP:AES_CBC=256/HMAC_SHA2_256_128/#/#/NO_EXT_SEQ
Nov 10 13:15:08ipsec
14[CFG] configured proposals: ESP:AES_CBC=256/HMAC_SHA2_256_128/#/MODP_4096/NO_EXT_SEQ
Nov 10 13:15:08ipsec
14[CFG] selected proposal: ESP:AES_CBC=256/HMAC_SHA2_256_128/#/#/NO_EXT_SEQ
Nov 10 13:15:08ipsec
14[IKE] CHILD_SA Test{2} established with SPIs c12ee9c8_i c20b83b1_o and TS 192.168.10.0/24 === 192.168.0.0/24
Nov 10 13:15:08ndm
IpSec::Configurator: crypto map "Test" is up.
Nov 10 13:15:08ndm
IpSec::Configurator: reconnection for crypto map "Test" was cancelled.
Nov 10 13:15:08ndm
IpSec::Configurator: crypto map "Test" active IKE SA: 1, active CHILD SA: 1.
Nov 10 13:15:08ndm
IpSec::IpSecNetfilter: start reloading netfilter configuration...
Nov 10 13:15:08ndm
IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Nov 10 13:15:11ipsec
10[IKE] retransmit 1 of request with message ID 0
Nov 10 13:15:20ipsec
08[IKE] retransmit 2 of request with message ID 0
Nov 10 13:15:30ipsec
10[IKE] retransmit 3 of request with message ID 0
Nov 10 13:15:41ipsec
09[IKE] retransmit 4 of request with message ID 0
Nov 10 13:15:52ipsec
05[IKE] retransmit 5 of request with message ID 0
Nov 10 13:16:05ipsec
10[IKE] retransmit 6 of request with message ID 0
Nov 10 13:16:20ipsec
09[IKE] retransmit 7 of request with message ID 0
Nov 10 13:16:35ipsec
16[IKE] retransmit 8 of request with message ID 0
Nov 10 13:16:52ipsec
12[IKE] giving up after 8 retransmits
Nov 10 13:16:52ndm
IpSec::Configurator: remote peer of crypto map "Test" is down.
Nov 10 13:16:52ndm
IpSec::Configurator: crypto map "Test" active IKE SA: 0, active CHILD SA: 0.
Nov 10 13:16:52ndm
IpSec::Configurator: fallback peer is not defined for crypto map "Test", retry.
Nov 10 13:16:52ndm
IpSec::Configurator: schedule reconnect for crypto map "Test".
Nov 10 13:16:52ipsec
12[IKE] establishing IKE_SA failed, peer not responding
Nov 10 13:17:08ndm
IpSec::Configurator: reconnecting crypto map "Test".
Nov 10 13:17:10ndm
IpSec::Configurator: crypto map "Test" shutdown started.
Nov 10 13:17:10ipsec
12[CFG] received stroke: unroute 'Test'
Nov 10 13:17:10ipsec
13[CFG] received stroke: terminate 'Test{*}'
Nov 10 13:17:10ipsec
16[IKE] closing CHILD_SA Test{2} with SPIs c12ee9c8_i (40144 bytes) c20b83b1_o (811908 bytes) and TS 192.168.10.0/24 === 192.168.0.0/24
Nov 10 13:17:10ipsec
16[IKE] sending DELETE for ESP CHILD_SA with SPI c12ee9c8
Nov 10 13:17:10ipsec
09[IKE] received DELETE for ESP CHILD_SA with SPI c20b83b1
Nov 10 13:17:10ipsec
09[IKE] CHILD_SA closed
Nov 10 13:17:10ipsec
14[CFG] received stroke: terminate 'Test[*]'
Nov 10 13:17:10ndm
IpSec::Configurator: crypto map "Test" shutdown complete.
Nov 10 13:17:11ndm
IpSec::Configurator: crypto map "Test" active IKE SA: 0, active CHILD SA: 0.
Nov 10 13:17:11ipsec
06[IKE] deleting IKE_SA Test[4] between ZYXEL_IP[ZYXEL_IP]...CISCO_IP[192.168.0.2]
Nov 10 13:17:11ipsec
06[IKE] sending DELETE for IKE_SA Test[4]
Nov 10 13:17:11ipsec
11[IKE] IKE_SA deleted
Nov 10 13:17:11ndm
IpSec::Configurator: crypto map "Test" active IKE SA: 0, active CHILD SA: 0.
Nov 10 13:17:11ndm
IpSec::IpSecNetfilter: start reloading netfilter configuration...
Nov 10 13:17:11ndm
IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Nov 10 13:17:11ipsec
15[IKE] received Cisco Delete Reason vendor ID
Nov 10 13:17:11ipsec
15[IKE] CISCO_IP is initiating an IKE_SA
Nov 10 13:17:11ipsec
15[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_4096/#
Nov 10 13:17:11ipsec
15[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_4096/#
Nov 10 13:17:11ipsec
15[CFG] selected proposal: IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_4096/#
Nov 10 13:17:11ipsec
12[CFG] received stroke: initiate 'Test'
Nov 10 13:17:11ndm
IpSec::Configurator: crypto map "Test" initialized.
Nov 10 13:17:13ipsec
07[MGR] ignoring request with ID 0, already processing
Nov 10 13:17:17ipsec
09[MGR] ignoring request with ID 0, already processing
Nov 10 13:17:19ipsec
15[IKE] remote host is behind NAT
Nov 10 13:17:19ipsec
16[IKE] initiating IKE_SA Test[6] to CISCO_IP
Nov 10 13:17:20ipsec
14[CFG] looking for peer configs matching ZYXEL_IP[%any]...CISCO_IP[192.168.0.2]
Nov 10 13:17:20ipsec
14[CFG] selected peer config 'Test'
Nov 10 13:17:20ipsec
14[IKE] linked key for crypto map 'Test' is not found, still searching
Nov 10 13:17:20ipsec
14[IKE] authentication of '192.168.0.2' with pre-shared key successful
Nov 10 13:17:20ipsec
14[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Nov 10 13:17:20ipsec
14[IKE] linked key for crypto map 'Test' is not found, still searching
Nov 10 13:17:20ipsec
14[IKE] authentication of 'ZYXEL_IP' (myself) with pre-shared key
Nov 10 13:17:20ipsec
14[IKE] IKE_SA Test[5] established between ZYXEL_IP[ZYXEL_IP]...CISCO_IP[192.168.0.2]
Nov 10 13:17:20ipsec
14[IKE] scheduling reauthentication in 3569s
Nov 10 13:17:20ipsec
14[IKE] maximum IKE_SA lifetime 3589s
Nov 10 13:17:20ndm
IpSec::Configurator: crypto map "Test" active IKE SA: 1, active CHILD SA: 0.
Nov 10 13:17:20ipsec
14[CFG] received proposals: ESP:AES_CBC=256/HMAC_SHA2_256_128/#/#/NO_EXT_SEQ
Nov 10 13:17:20ipsec
14[CFG] configured proposals: ESP:AES_CBC=256/HMAC_SHA2_256_128/#/MODP_4096/NO_EXT_SEQ
Nov 10 13:17:20ipsec
14[CFG] selected proposal: ESP:AES_CBC=256/HMAC_SHA2_256_128/#/#/NO_EXT_SEQ
Nov 10 13:17:20ipsec
14[IKE] CHILD_SA Test{3} established with SPIs c96d5999_i 8d98ca14_o and TS 192.168.10.0/24 === 192.168.0.0/24
Nov 10 13:17:20ndm
IpSec::Configurator: crypto map "Test" is up.
Nov 10 13:17:20ndm
IpSec::Configurator: reconnection for crypto map "Test" was cancelled.
Nov 10 13:17:20ndm
IpSec::Configurator: crypto map "Test" active IKE SA: 1, active CHILD SA: 1.
Nov 10 13:17:20ndm
IpSec::IpSecNetfilter: start reloading netfilter configuration...
Nov 10 13:17:20ndm
IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Nov 10 13:17:32ipsec
11[IKE] retransmit 1 of request with message ID 0
Nov 10 13:17:41ipsec
07[IKE] retransmit 2 of request with message ID 0
Nov 10 13:17:50ipsec
05[IKE] retransmit 3 of request with message ID 0
Nov 10 13:18:01ipsec
13[IKE] retransmit 4 of request with message ID 0
Nov 10 13:18:13ipsec
05[IKE] retransmit 5 of request with message ID 0
Nov 10 13:18:26ipsec
15[IKE] retransmit 6 of request with message ID 0
Nov 10 13:18:40ipsec
13[IKE] retransmit 7 of request with message ID 0
Nov 10 13:18:55ipsec
16[IKE] retransmit 8 of request with message ID 0
Nov 10 13:19:13ipsec
14[IKE] giving up after 8 retransmits
Nov 10 13:19:13ndm
IpSec::Configurator: remote peer of crypto map "Test" is down.
Nov 10 13:19:13ndm
IpSec::Configurator: crypto map "Test" active IKE SA: 0, active CHILD SA: 0.
Nov 10 13:19:13ndm
IpSec::Configurator: fallback peer is not defined for crypto map "Test", retry.
Nov 10 13:19:13ndm
IpSec::Configurator: schedule reconnect for crypto map "Test".
Nov 10 13:19:13ipsec
14[IKE] establishing IKE_SA failed, peer not responding
Nov 10 13:19:29ndm
IpSec::Configurator: reconnecting crypto map "Test".
Nov 10 13:19:31ndm
IpSec::Configurator: crypto map "Test" shutdown started.
Nov 10 13:19:31ipsec
14[CFG] received stroke: unroute 'Test'
Nov 10 13:19:31ipsec
08[CFG] received stroke: terminate 'Test{*}'
Nov 10 13:19:31ipsec
16[IKE] closing CHILD_SA Test{3} with SPIs c96d5999_i (24735 bytes) 8d98ca14_o (68197 bytes) and TS 192.168.10.0/24 === 192.168.0.0/24
Nov 10 13:19:31ipsec
16[IKE] sending DELETE for ESP CHILD_SA with SPI c96d5999
Nov 10 13:19:31ipsec
13[IKE] received DELETE for ESP CHILD_SA with SPI 8d98ca14
Nov 10 13:19:31ipsec
13[IKE] CHILD_SA closed
Nov 10 13:19:31ipsec
09[CFG] received stroke: terminate 'Test[*]'
Nov 10 13:19:31ndm
IpSec::Configurator: crypto map "Test" shutdown complete.
Nov 10 13:19:31ndm
IpSec::Configurator: crypto map "Test" active IKE SA: 0, active CHILD SA: 0.
Nov 10 13:19:31ipsec
10[IKE] deleting IKE_SA Test[5] between ZYXEL_IP[ZYXEL_IP]...CISCO_IP[192.168.0.2]
Nov 10 13:19:31ipsec
10[IKE] sending DELETE for IKE_SA Test[5]
Nov 10 13:19:31ndm
IpSec::IpSecNetfilter: start reloading netfilter configuration...
Nov 10 13:19:31ndm
IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Nov 10 13:19:32ipsec
12[CFG] received stroke: initiate 'Test'
Nov 10 13:19:32ndm
IpSec::Configurator: crypto map "Test" initialized.
Nov 10 13:19:39ipsec
15[IKE] unable to create CHILD_SA while deleting IKE_SA
Nov 10 13:19:39ipsec
05[IKE] IKE_SA deleted
Nov 10 13:19:39ndm
IpSec::Configurator: crypto map "Test" active IKE SA: 0, active CHILD SA: 0.
Nov 10 13:19:39ipsec
07[IKE] initiating IKE_SA Test[7] to CISCO_IP
Nov 10 13:19:51ipsec
08[IKE] retransmit 1 of request with message ID 0
Nov 10 13:20:00ipsec
13[IKE] retransmit 2 of request with message ID 0
Nov 10 13:20:01ipsec
10[IKE] received Cisco Delete Reason vendor ID
Nov 10 13:20:01ipsec
10[IKE] CISCO_IP is initiating an IKE_SA
Nov 10 13:20:01ipsec
10[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_4096/#
Nov 10 13:20:01ipsec
10[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_4096/#
Nov 10 13:20:01ipsec
10[CFG] selected proposal: IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_4096/#
Nov 10 13:20:03ipsec
14[MGR] ignoring request with ID 0, already processing
Nov 10 13:20:06ipsec
16[MGR] ignoring request with ID 0, already processing
Nov 10 13:20:09ipsec
10[IKE] remote host is behind NAT
Nov 10 13:20:09ipsec
08[CFG] looking for peer configs matching ZYXEL_IP[%any]...CISCO_IP[192.168.0.2]
Nov 10 13:20:09ipsec
08[CFG] selected peer config 'Test'
Nov 10 13:20:09ipsec
08[IKE] linked key for crypto map 'Test' is not found, still searching
Nov 10 13:20:09ipsec
08[IKE] authentication of '192.168.0.2' with pre-shared key successful
Nov 10 13:20:09ipsec
08[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Nov 10 13:20:09ipsec
08[IKE] linked key for crypto map 'Test' is not found, still searching
Nov 10 13:20:09ipsec
08[IKE] authentication of 'ZYXEL_IP' (myself) with pre-shared key
Nov 10 13:20:09ipsec
08[IKE] IKE_SA Test[8] established between ZYXEL_IP[ZYXEL_IP]...CISCO_IP[192.168.0.2]
Nov 10 13:20:09ipsec
08[IKE] scheduling reauthentication in 3567s
Nov 10 13:20:09ipsec
08[IKE] maximum IKE_SA lifetime 3587s
Nov 10 13:20:09ndm
IpSec::Configurator: crypto map "Test" active IKE SA: 1, active CHILD SA: 0.
Nov 10 13:20:09ipsec
08[CFG] received proposals: ESP:AES_CBC=256/HMAC_SHA2_256_128/#/#/NO_EXT_SEQ
Nov 10 13:20:09ipsec
08[CFG] configured proposals: ESP:AES_CBC=256/HMAC_SHA2_256_128/#/MODP_4096/NO_EXT_SEQ
Nov 10 13:20:09ipsec
08[CFG] selected proposal: ESP:AES_CBC=256/HMAC_SHA2_256_128/#/#/NO_EXT_SEQ
Nov 10 13:20:09ipsec
08[IKE] CHILD_SA Test{4} established with SPIs cdeb3b19_i 00d56f15_o and TS 192.168.10.0/24 === 192.168.0.0/24
Nov 10 13:20:09ndm
IpSec::Configurator: crypto map "Test" is up.
Nov 10 13:20:09ndm
IpSec::Configurator: reconnection for crypto map "Test" was cancelled.
Nov 10 13:20:09ndm
IpSec::Configurator: crypto map "Test" active IKE SA: 1, active CHILD SA: 1.
Nov 10 13:20:09ndm
IpSec::IpSecNetfilter: start reloading netfilter configuration...
Nov 10 13:20:10ndm
IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Nov 10 13:20:10ipsec
05[IKE] retransmit 3 of request with message ID 0
Nov 10 13:20:20ipsec
15[IKE] retransmit 4 of request with message ID 0
Nov 10 13:20:32ipsec
05[IKE] retransmit 5 of request with message ID 0
Nov 10 13:20:45ipsec
08[IKE] retransmit 6 of request with message ID 0
Nov 10 13:20:48ndhcps
_WEBADMIN: DHCPREQUEST received (STATE_SELECTING) for 192.168.10.45 from 74:04:2b:84:60:e8.
Nov 10 13:20:48ndhcps
_WEBADMIN: sending ACK of 192.168.10.45 to 74:04:2b:84:60:e8.
Nov 10 13:20:59ipsec
16[IKE] retransmit 7 of request with message ID 0
Nov 10 13:21:15ipsec
15[IKE] retransmit 8 of request with message ID 0
Nov 10 13:21:32ipsec
13[IKE] giving up after 8 retransmits
Nov 10 13:21:32ndm
IpSec::Configurator: remote peer of crypto map "Test" is down.
Nov 10 13:21:32ndm
IpSec::Configurator: crypto map "Test" active IKE SA: 0, active CHILD SA: 0.
Nov 10 13:21:32ndm
IpSec::Configurator: fallback peer is not defined for crypto map "Test", retry.
Nov 10 13:21:32ndm
IpSec::Configurator: schedule reconnect for crypto map "Test".
Nov 10 13:21:32ipsec
13[IKE] establishing IKE_SA failed, peer not responding
Nov 10 13:21:48ndm
IpSec::Configurator: reconnecting crypto map "Test".
Nov 10 13:21:50ndm
IpSec::Configurator: crypto map "Test" shutdown started.
Nov 10 13:21:50ipsec
13[CFG] received stroke: unroute 'Test'
Nov 10 13:21:50ipsec
07[CFG] received stroke: terminate 'Test{*}'
Nov 10 13:21:50ipsec
15[IKE] closing CHILD_SA Test{4} with SPIs cdeb3b19_i (24726 bytes) 00d56f15_o (85210 bytes) and TS 192.168.10.0/24 === 192.168.0.0/24
Nov 10 13:21:50ipsec
15[IKE] sending DELETE for ESP CHILD_SA with SPI cdeb3b19
Nov 10 13:21:50ipsec
16[IKE] received DELETE for ESP CHILD_SA with SPI 00d56f15
Nov 10 13:21:50ipsec
16[IKE] CHILD_SA closed
Nov 10 13:21:50ipsec
06[CFG] received stroke: terminate 'Test[*]'
Nov 10 13:21:50ndm
IpSec::Configurator: crypto map "Test" shutdown complete.
Nov 10 13:21:50ndm
IpSec::Configurator: crypto map "Test" active IKE SA: 0, active CHILD SA: 0.
Nov 10 13:21:50ipsec
08[IKE] deleting IKE_SA Test[8] between ZYXEL_IP[ZYXEL_IP]...CISCO_IP[192.168.0.2]
Nov 10 13:21:50ipsec
08[IKE] sending DELETE for IKE_SA Test[8]
Nov 10 13:21:50ipsec
05[IKE] IKE_SA deleted
Nov 10 13:21:50ndm
IpSec::Configurator: crypto map "Test" active IKE SA: 0, active CHILD SA: 0.
Спасибо!
Edited November 13, 2017 by Никита Болдин