- Remove From My Forums
-
General discussion
-
Доброго времени суток имеется win 7 при подключении через ikev2 vpn ошибка 13868 ошибка сопоставления групповой политики я по подключаюсь к windows server 2012 r2 там поднята роль маршрутизация и удаленный доступ чего
ошибка скажите?На других машинах windows7,8.10 проблем нет с ikev2 vpn !
-
Edited by
Александр700
Saturday, February 9, 2019 12:41 AM -
Changed type
Anton Sashev Ivanov
Wednesday, February 20, 2019 8:14 AM
Обсуждение
-
Edited by
All replies
-
Попробуйте рекомендации из топика:
ikev2, anyone got it working?
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий.
-
Попробуйте рекомендации из топика:
ikev2, anyone got it working?
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий.
где попробувать на серваке 2012r2 или на windows 7?
-
Edited by
Александр700
Sunday, February 10, 2019 3:08 AM
-
Edited by
- Remove From My Forums
-
General discussion
-
Доброго времени суток имеется win 7 при подключении через ikev2 vpn ошибка 13868 ошибка сопоставления групповой политики я по подключаюсь к windows server 2012 r2 там поднята роль маршрутизация и удаленный доступ чего
ошибка скажите?На других машинах windows7,8.10 проблем нет с ikev2 vpn !
-
Edited by
Александр700
Saturday, February 9, 2019 12:41 AM -
Changed type
Anton Sashev Ivanov
Wednesday, February 20, 2019 8:14 AM
Обсуждение
-
Edited by
All replies
-
Попробуйте рекомендации из топика:
ikev2, anyone got it working?
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий.
-
Попробуйте рекомендации из топика:
ikev2, anyone got it working?
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий.
где попробувать на серваке 2012r2 или на windows 7?
-
Edited by
Александр700
Sunday, February 10, 2019 3:08 AM
-
Edited by
Пролог:
Прочел все мануалы по IPsec на DFL.
Затем прочел все мануалы по IPsec на других устройствах, которые смог найти.
Попробовал различные комбинации.
Вводная: имеется DFL-260 со статическим белым адресом с одноранговой локалью за ним. Хочу подключаться к этой локалке через IPsec туннель с мобильной связи, из любой точки. Т. е. подключаться придется зачастую с динамического серого (NAT) адреса.
Пробовал подключаться:
1. штатными средствами Win7 (L2TP IPsec VPN, IKEv2) (NAT);
2. штатными средствами Android (L2TP/IPSec PSK, IPSec Xauth PSK) (мобильный интернет — NAT);
3. штатными средствами Ios (IKEv2, IPSec, L2TP) (мобильный интернет — NAT).
Все безрезультатно.
1. При попытке подключения с Win7 по L2TP IPsec VPN, выдается ошибка 788: Попытка L2TP-подключения не удалась, поскольку на уровне безопасности не удалось согласовать параметры с удаленным компьютером.
В логах на DFL следующее:
Код:
2018-08-15
12:27:15
Info
IPSEC
1800904 ike_sa_created
ipsec_if=dynamic_ipsec local_ip=<ВНЕШНИЙ IP DFL> local_port=4500 remote_iface=wan remote_ip=<ВНЕШНИЙ IP компа> remote_port=57944 local_id=<ВНЕШНИЙ IP DFL> remote_id=<ЛОКАЛЬНЫЙ IP компа в его локальной сети>local_ike_spi=0xa1f871a70951d192 remote_ike_spi=0x53bc392752c1ec0c initiator=FALSE algorithms=aes256-cbc/hmac-sha1-96/hmac-sha1/MODP_2048 mode=Main lifetime=28800 ikeversion=1 local_behind_nat=TRUE remote_behind_nat=TRUE initial_contact=FALSE
2018-08-15
12:27:15
Info
IPSEC
1802023 ike_sa_statistics
done=183 success=19 failed=164
2018-08-15
12:27:15
Info
IPSEC
1802049 [b]ipsec_sa_failed[/b]
ipsec_sa_disabled
statusmsg=»No proposal chosen» reason=»Peer IP address mismatch. Local Traffic Selector mismatch.» local_peer=»<ВНЕШНИЙ IP DFL>:4500 ID <ВНЕШНИЙ IP DFL>» remote_peer=»<ВНЕШНИЙ IP компа>:57944 ID <ЛОКАЛЬНЫЙ IP компа в его локальной сети>» ike_spi_i=0x53bc392752c1ec0c ike_spi_r=0xa1f871a70951d192
2018-08-15
12:27:15
Notice
IPSEC
1800105 ike_delete_notification
local_ip=<ВНЕШНИЙ IP DFL> remote_ip=<ВНЕШНИЙ IP компа> cookies=0x53bc392752c1ec0ca1f871a70951d192 reason=»Received delete notification»
2018-08-15
12:27:15
Info
IPSEC
1800906 ike_sa_deleted
ipsec_if=dynamic_ipsec local_ip=<ВНЕШНИЙ IP DFL> local_port=4500 remote_iface=wan remote_ip=<ВНЕШНИЙ IP компа> remote_port=57944 local_id=<ВНЕШНИЙ IP DFL> remote_id=<ЛОКАЛЬНЫЙ IP компа в его локальной сети> local_ike_spi=0xa1f871a70951d192 remote_ike_spi=0x53bc392752c1ec0c peer_dead=FALSE
Я так понимаю, первая фаза(ike) проходит нормально, а вторая(ipsec) прерывается из-за несоответствия внешнего ip и «id» инициатора туннеля. Если я прав, то что с этим делать?
При попытке подключения по IKEv2, Win7 выдает ошибку 13868: Ошибка сопоставления групповой политики.
В логах DFL следующее:
Код:
2018-08-15
12:40:56
Error
IPSEC
1802221 no_matching_tunnel_found
packet_will_be_discarded
localaddr=<ВНЕШНИЙ IP DFL> remoteaddr=<ВНЕШНИЙ IP компа> srcif=wan
2018-08-15
12:40:56
Warning
IPSEC
1802022 ike_sa_failed
no_ike_sa
statusmsg=»No proposal chosen» reason=»» local_peer=»<ВНЕШНИЙ IP DFL>:500 ID (null)» remote_peer=»<ВНЕШНИЙ IP компа>:500 ID (null)» spi_i=0x1960bcb26ab80e2c spi_r=0x6460b7a0d3e77fc4 initiator=FALSE
2018-08-15
12:40:56
Info
IPSEC
1802023 ike_sa_statistics
done=204 success=19 failed=185
2. При попытке подключения с Android по L2TP/IPSec PSK, соединение висит в состоянии «подключение», затем, спустя секунд 30 — «сбой».
В логах DFL следующее:
Код:
2018-08-15
12:44:57
Error
IPSEC
1802221 no_matching_tunnel_found
packet_will_be_discarded
localaddr=<ВНЕШНИЙ IP DFL> remoteaddr=<ВНЕШНИЙ IP Android> srcif=wan
2018-08-15
12:44:57
Warning
IPSEC
1800107 ike_invalid_proposal
local_ip=<ВНЕШНИЙ IP DFL> remote_ip=<ВНЕШНИЙ IP Android> cookies=0xd473938d4b3cf3eb5230d23d5b24cf6d reason=»Could not find acceptable proposal»
2018-08-15
12:44:57
Warning
IPSEC
1802022 ike_sa_failed
no_ike_sa
statusmsg=»No proposal chosen» reason=»» local_peer=»<ВНЕШНИЙ IP DFL>:500 ID (null)» remote_peer=»<ВНЕШНИЙ IP Android>:500 ID (null)» spi_i=0xd473938d4b3cf3eb spi_r=0x5230d23d5b24cf6d initiator=FALSE
2018-08-15
12:44:57
Info
IPSEC
1802023 ike_sa_statistics
done=211 success=19 failed=192
Тут, я так понимаю, не угадал с набором алгоритмов первой фазы. Как их следует изменить?
При попытке подключения с Android по IPSec Xauth PSK, соединение висит в состоянии «подключение», затем, спустя секунд 30 — «сбой».
В логах DFL то же самое. (хотя, при каких-то других параметрах, в логе было что-то похожее на несоответствие IP и ID)
3. При попытках подключения Ios по IKEv2 и IPSec содержимое лога идентичное ситуации, когда неверно подобраны алгоритмы 1 фазы.
При попытке подключения по L2TP — несоответствие IP и ID.
Как быть, куда копать? Вообще, возможно ли поднятие туннеля в таких условиях?
Настройки IPsec:
Вложение:
Комментарий к файлу: Настройки IPsec 1
IPSec_01.jpg [ 53.82 KiB | Просмотров: 5890 ]
Вложение:
Комментарий к файлу: Настройки IPSec 2
IPSec_02.jpg [ 77.54 KiB | Просмотров: 5890 ]
Вложение:
Комментарий к файлу: Настройки IPsec 3
IPSec_03.jpg [ 98.89 KiB | Просмотров: 5890 ]
Последний раз редактировалось aNGEl0 Ср авг 15, 2018 13:01, всего редактировалось 1 раз.
I have the newest version of Strongswan vpn on my ubuntu server running.
I followed this tutorial here and got it to work on my android and Iphone.
Now I want to get it to work on my windows 10 laptop but when I try to connect via the vpn settings in windows I only get a «policy match error» and the event view gives me the error code «13868».
After much googling I still cant find any working solution.
What can I do?
asked Apr 30, 2019 at 10:02
sirzentosirzento
1831 gold badge1 silver badge5 bronze badges
The problem is most likely that the Windows client proposes a weak Diffie-Hellman (DH) group (1024-bit MODP). That group is not used anymore by strongSwan unless the user configures it explicitly.
You have two options:
- Configure Windows to use a stronger DH group. This can be done either
- via Set-VpnConnectionIPsecConfiguration PowerShell cmdlet, which allows enabling stronger DH groups (e.g. group 14/2048-bit MODP or 384-bit ECP) and even other algorithms (e.g. AES-GCM combined-mode encryption/integrity, which is more efficient, but needs to be enabled explicitly on the server too)
- or via registry by adding the DWORD key
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRasmanParametersNegotiateDH2048_AES256
. Set it to1
to enable (the other algorithms are still proposed), or2
to enforce the use of 256-bit AES-CBC and 2048-bit MODP DH (only these will be proposed).
- Add the proposed, weak DH group (1024-bit MODP) to the IKE proposal on the server (e.g. configure something like
ike=aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024
, which adds it at the end so other clients may use stronger DH groups).
Option 1 is definitely preferred.
answered Apr 30, 2019 at 13:16
ecdsaecdsa
3,87014 silver badges29 bronze badges
3
To find out what is the problem you should, as a first step, turn on logging and see what happens during the connection process. Here is the example config I use on my server.
/etc/strongswan.d/charon-logging.conf
charon {
# Section to define file loggers, see LOGGER CONFIGURATION in
# strongswan.conf(5).
filelog {
# <filename> is the full path to the log file.
/var/log/strongswan.log {
# Loglevel for a specific subsystem.
# <subsystem> = <default>
# If this option is enabled log entries are appended to the existing
# file.
append = yes
# Default loglevel.
default = 2
# Enabling this option disables block buffering and enables line
# buffering.
# flush_line = no
# Prefix each log entry with the connection name and a unique
# numerical identifier for each IKE_SA.
ike_name = yes
# Adds the milliseconds within the current second after the
# timestamp (separated by a dot, so time_format should end with %S
# or %T).
# time_add_ms = no
# Prefix each log entry with a timestamp. The option accepts a
# format string as passed to strftime(3).
# time_format =
}
}
}
U can use it and analyze the log file to discover the issue. If you will not able to figure it out, post a connection log here I will try to help you.
answered Apr 30, 2019 at 10:31
3
- Печать
Страницы: [1] Вниз
Тема: бьюсь с VPN IPsec IKEv2 strongSwan на Ubuntu-server (Прочитано 2248 раз)
0 Пользователей и 1 Гость просматривают эту тему.
zaka4kin
Доброго времени…
на виртуальной обкатке имею:
Ubuntu-server 20.04 + strongSwan 5.8.2
и
Win10 20H2 x64.
обе лежат в одной сети.
ipsec.conf срисовал отсюда. оттуда же и ipsec.secrets.
подключаюсь… выползла ошибка 13868, пофиксил.
прописал пока «ike=aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024″…
НО винда не унимается… выдаёт «ошибку обработки полезных данных ke» за номером 13833.
может кто сталкивался?
второй вопрос — реально ли замутить VPN IPsec IKEv2 без центра сертификации, генерации сертификата и прочего?
(прошу прощения за возможно неправильные термины/понятия. только начал щупать данную тему).
вопрос возник потому, что у них то инфа про это есть
https://www.strongswan.org/testing/testresults/ikev2/rw-psk-ipv4/.
яж не ошибся, там чисто по ключу подключение, без сертификатов всяких?
Спасибо!
AlexDem
яж не ошибся, там чисто по ключу подключение, без сертификатов всяких?
А в чем проблема сделать самому сертификат Х.509 сервера, клиента, ключей и пр., и пользоваться этим всем хозяйством?
Принцип безопасного соединения заключается в том, что поскольку те открытые ключи, которыми обмениваются клиент и сервер передаются изначально по незащищенному каналу и могут быть перехвачены, расшифрованы и подменены, поэтому достоверность ключей по которым клиент и сервер «узнают» друг-друга подтверждаются сертификатами, которые хранятся локально на клиенте и сервере и никуда не передаются во время сеанса связи, а следовательно не могут быть взломаны (ну, если их не похитили отдельно).
Поэтому VPN без сертификата это просто шифрование закрытым симметричным ключом.
zaka4kin
Доброго времени всем…
собрал стенд на virtualbox:
Win-клиент — NAT (10.0.10.0/24) — Ubuntu-Server 20.04 + VPN IKEv2-сервер (10.0.10.10)
адрес хоста 10.89.7.2. UDP 500, 4500 пробросил с 10.89.7.2 на 10.0.10.10 в Файл -> Настройки -> Сеть.
отключил брандмауэр на Windows и UFW на Ubuntu-server (подстраховался)…
подготовка сертификатов:
ipsec.conf:
пробовал и
left=%defaultroute
leftfirewall=yes
ipsec.secrets
не хочет подключаться и всё, «ошибка сопоставления групповой политики».
если и сервер и клиент в одной подсети, то подключение проходит,
без
[code]left=%defaultroute
leftfirewall=yes
естественно.
Что я упускаю из виду?
- Печать
Страницы: [1] Вверх