Tham gia Đăng nhập
Điểm:0
avatar Server

Không thể kết nối MacOS với máy chủ VPN StrongSwan được cài đặt trên Ubuntu

lá cờ br
nealous3

Tôi gặp sự cố khi kết nối với IKEv2 VPN chạy trên Ubuntu VM trên GCP. Tôi đang cố gắng kết nối với MacOS và Windows. tôi đã theo dõi điều này hướng dẫn để cài đặt VPN trên Ubuntu VM. Tôi cần một VPN để có thể có IP tĩnh cho nhiều người và kết nối với các ứng dụng chạy trên GCP không công khai. Tôi đã đọc rằng VPN máy khách/máy chủ là giải pháp tôi cần, đó là lý do tại sao tôi thử hướng dẫn này. Có thể vấn đề với cấu hình là chỉ hệ điều hành Ubuntu mới có thể kết nối với VPN?

Sự khác biệt duy nhất so với hướng dẫn là tôi đã thay đổi tên miền trong hướng dẫn thành địa chỉ IP của GCP VM. Thông báo lỗi trên MacOS là "Xác thực người dùng không thành công" và tôi đã tải ca.cert.pem từ máy chủ VPN vào Truy cập chuỗi khóa trên MacOS của tôi. Kết nối từ Windows 10 là vấn đề tương tự. Tôi đặt tệp pem vào Cơ quan cấp chứng chỉ gốc đáng tin cậy nhưng không thể kết nối bằng tên người dùng và mật khẩu.

Tìm thấy các bản ghi sau trong máy chủ Ubuntu var/log/nhật ký hệ thống khi cố gắng kết nối với ứng dụng khách IKEv2 có sẵn của MacOS:

Ngày 13 tháng 6 12:54:14 vpn-instance charon: 03[NET] đã nhận gói: từ xxx.xxx.xxx.xxx[500] đến 10.152.0.2[500]
Ngày 13 tháng 6 12:54:14 vpn-instance charon: 03[NET] đang chờ dữ liệu trên ổ cắm
Ngày 13 tháng 6 12:54:14 vpn-instance charon: 09[MGR] kiểm tra IKEv2 SA bằng tin nhắn với SPI e2706de3b7c70401_i 0000000000000000_r
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 04[NET] gửi gói: từ 10.152.0.2[4500] đến xxx.xxx.xxx.xxx[4500]
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 10[NET] gửi gói: từ 10.152.0.2[4500] đến xxx.xxx.xxx.xxx[4500] (740 byte)
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 04[NET] gửi gói: từ 10.152.0.2[4500] đến xxx.xxx.xxx.xxx[4500]
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 10[MGR] đăng ký IKE_SA ipsec-ikev2-vpn[6]
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 10[MGR] đăng ký IKE_SA thành công
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 03[NET] đã nhận gói: từ xxx.xxx.xxx.xxx[4500] đến 10.152.0.2[4500]
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 03[NET] chờ dữ liệu trên ổ cắm
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 11[MGR] kiểm tra IKEv2 SA bằng tin nhắn với SPI 34ad7c643920ad6b_i 4b3661d3bf822b14_r
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 11[MGR] IKE_SA ipsec-ikev2-vpn[6] đã kiểm xuất thành công
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 11[NET] gói đã nhận: từ xxx.xxx.xxx.xxx[4500] đến 10.152.0.2[4500] (80 byte)
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 11[ENC] đã phân tích cú pháp yêu cầu IKE_AUTH 2 [ EAP/RES/ID ]
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 11[IKE] khởi tạo phương thức EAP_MSCHAPV2 (id 0x9C)
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 11[ENC] tạo phản hồi IKE_AUTH 2 [ EAP/REQ/MSCHAPV2 ]
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 11[NET] gửi gói: từ 10.152.0.2[4500] đến xxx.xxx.xxx.xxx[4500] (112 byte)
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 11[MGR] đăng ký IKE_SA ipsec-ikev2-vpn[6]
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 11[MGR] đăng ký IKE_SA thành công
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 04[NET] gửi gói: từ 10.152.0.2[4500] đến xxx.xxx.xxx.xxx[4500]
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 12[MGR] kiểm tra IKEv2 SA với SPI 05c7426145bd1401_i 0b4b7fc130e9023e_r
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 12[MGR] IKE_SA ipsec-ikev2-vpn[5] đã kiểm xuất thành công
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 12[IKE] gửi giữ nguyên tới xxx.xxx.xxx.xxx[4500]
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 12[MGR] đăng ký IKE_SA ipsec-ikev2-vpn[5]
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 12[MGR] đăng ký IKE_SA thành công
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 04[NET] gửi gói: từ 10.152.0.2[4500] đến xxx.xxx.xxx.xxx[4500]
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 13[MGR] kiểm tra IKEv2 SA với SPI 34ad7c643920ad6b_i 4b3661d3bf822b14_r
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 13[MGR] IKE_SA ipsec-ikev2-vpn[6] đã kiểm xuất thành công
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 13[MGR] checkin IKE_SA ipsec-ikev2-vpn[6]
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 13[MGR] đăng ký IKE_SA thành công
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 14[MGR] kiểm tra IKEv2 SA với SPI 34ad7c643920ad6b_i 4b3661d3bf822b14_r
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 14[MGR] IKE_SA ipsec-ikev2-vpn[6] đã kiểm xuất thành công
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 14[IKE] gửi giữ nguyên tới xxx.xxx.xxx.xxx[4500]
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 14[MGR] checkin IKE_SA ipsec-ikev2-vpn[6]
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 04[NET] gửi gói: từ 10.152.0.2[4500] đến xxx.xxx.xxx.xxx[4500]
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 14[MGR] đăng ký IKE_SA thành công
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 15[MGR] kiểm tra IKEv2 SA với SPI 05c7426145bd1401_i 0b4b7fc130e9023e_r
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 15[MGR] IKE_SA ipsec-ikev2-vpn[5] đã kiểm xuất thành công
Ngày 13 tháng 6 12:54:14 vpn-instance charon: 09[MGR] đã tạo IKE_SA (chưa đặt tên)[7]
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 15[JOB] xóa một nửa IKE_SA đang mở với xxx.xxx.xxx.xxx sau khi hết thời gian chờ
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 15[MGR] đăng ký và hủy IKE_SA ipsec-ikev2-vpn[5]
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 15[IKE] IKE_SA ipsec-ikev2-vpn[5] thay đổi trạng thái: KẾT NỐI => PHÁ HỦY
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 15[MGR] đăng ký và hủy IKE_SA thành công
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 16[MGR] kiểm tra IKEv2 SA với SPI 34ad7c643920ad6b_i 4b3661d3bf822b14_r
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 16[MGR] IKE_SA ipsec-ikev2-vpn[6] đã kiểm xuất thành công
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 16[JOB] xóa một nửa IKE_SA đang mở với xxx.xxx.xxx.xxx sau khi hết thời gian chờ
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 16[MGR] đăng ký và hủy IKE_SA ipsec-ikev2-vpn[6]
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 16[IKE] IKE_SA ipsec-ikev2-vpn[6] thay đổi trạng thái: KẾT NỐI => PHÁ HỦY
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 16[MGR] đăng ký và hủy IKE_SA thành công
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 06[MGR] kiểm tra IKEv2 SA với SPI 05c7426145bd1401_i 0b4b7fc130e9023e_r
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 06[MGR] Thanh toán IKE_SA không thành công
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 05[MGR] kiểm tra IKEv2 SA với SPI 34ad7c643920ad6b_i 4b3661d3bf822b14_r
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 05[MGR] Thanh toán IKE_SA không thành công
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 03[NET] gói đã nhận: từ xxx.xxx.xxx.xxx[500] đến 10.152.0.2[500]
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 03[NET] chờ dữ liệu trên ổ cắm
Ngày 13 tháng 6 12:54:14 vpn-instance ipsec[540]: 09[MGR] kiểm tra IKEv2 SA bằng tin nhắn với SPI e2706de3b7c70401_i 0000000000000000_r
Ngày 13 tháng 6 12:54:14 vpn-instance charon: 03[NET] đang chờ dữ liệu trên ổ cắm
Ngày 13 tháng 6 12:54:14 vpn-instance charon: 14[MGR] thanh toán IKEv2 SA bằng tin nhắn với SPI 25159daea9f11f1d_i 64799938fac7
977c_r
Ngày 13 tháng 6 12:54:14 vpn-instance charon: 14[MGR] IKE_SA ipsec-ikev2-vpn[8] đã kiểm xuất thành công
Ngày 13 tháng 6 12:54:14 vpn-instance charon: 14[NET] đã nhận gói: từ xxx.xxx.xxx.xxx[4500] đến 10.152.0.2[4500] (80 bởi
tes)
Ngày 13 tháng 6 12:54:14 vpn-instance charon: 14[ENC] đã phân tích cú pháp yêu cầu IKE_AUTH 2 [ EAP/RES/ID ]
Ngày 13 tháng 6 12:54:14 vpn-instance charon: 14[IKE] khởi tạo phương thức EAP_MSCHAPV2 (id 0x4A)
Ngày 13 tháng 6 12:54:14 vpn-instance charon: 14[ENC] tạo phản hồi IKE_AUTH 2 [ EAP/REQ/MSCHAPV2 ]
Ngày 13 tháng 6 12:54:14 vpn-instance charon: 14[NET] gửi gói: từ 10.152.0.2[4500] đến xxx.xxx.xxx.xxx[4500] (112 bởi
tes)
Ngày 13 tháng 6 12:54:14 vpn-instance charon: 14[MGR] checkin IKE_SA ipsec-ikev2-vpn[8]
Ngày 13 tháng 6 12:54:14 vpn-instance charon: 14[MGR] đăng ký IKE_SA thành công
Ngày 13 tháng 6 12:54:14 vpn-instance charon: 04[NET] gửi gói: từ 10.152.0.2[4500] đến xxx.xxx.xxx.xxx[4500]
Ngày 13 tháng 6 12:54:34 vpn-instance charon: 16[MGR] thanh toán IKEv2 SA với SPI e2706de3b7c70401_i 3ff8ef2239e91120_r
Ngày 13 tháng 6 12:54:34 vpn-instance charon: 16[MGR] IKE_SA ipsec-ikev2-vpn[7] đã kiểm xuất thành công
Ngày 13 tháng 6 12:54:34 vpn-instance charon: 16[IKE] gửi giữ nguyên tới xxx.xxx.xxx.xxx[4500]
Ngày 13 tháng 6 12:54:34 vpn-instance charon: 16[MGR] checkin IKE_SA ipsec-ikev2-vpn[7]
Ngày 13 tháng 6 12:54:34 vpn-instance charon: 16[MGR] đăng ký IKE_SA thành công
Ngày 13 tháng 6 12:54:34 vpn-instance charon: 04[NET] gửi gói: từ 10.152.0.2[4500] đến xxx.xxx.xxx.xxx[4500]
Ngày 13 tháng 6 12:54:34 vpn-instance charon: 06[MGR] thanh toán IKEv2 SA với SPI 25159daea9f11f1d_i 64799938fac7977c_r
Ngày 13 tháng 6 12:54:34 vpn-instance charon: 06[MGR] IKE_SA ipsec-ikev2-vpn[8] đã kiểm xuất thành công
Ngày 13 tháng 6 12:54:34 vpn-instance charon: 06[IKE] gửi giữ nguyên tới xxx.xxx.xxx.xxx[4500]
Ngày 13 tháng 6 12:54:34 vpn-instance charon: 06[MGR] checkin IKE_SA ipsec-ikev2-vpn[8]
Ngày 13 tháng 6 12:54:34 vpn-instance charon: 06[MGR] đăng ký IKE_SA thành công
Ngày 13 tháng 6 12:54:34 vpn-instance charon: 04[NET] gửi gói: từ 10.152.0.2[4500] đến xxx.xxx.xxx.xxx[4500]
Ngày 13 tháng 6 12:54:44 vpn-instance charon: 05[MGR] thanh toán IKEv2 SA với SPI e2706de3b7c70401_i 3ff8ef2239e91120_r
Ngày 13 tháng 6 12:54:44 vpn-instance charon: 05[MGR] IKE_SA ipsec-ikev2-vpn[7] đã kiểm xuất thành công
Ngày 13 tháng 6 12:54:44 vpn-instance charon: 05[JOB] xóa một nửa IKE_SA đang mở với xxx.xxx.xxx.xxx sau khi hết thời gian chờ
Ngày 13 tháng 6 12:54:44 vpn-instance charon: 05[MGR] đăng ký và hủy IKE_SA ipsec-ikev2-vpn[7]
Ngày 13 tháng 6 12:54:44 vpn-instance charon: 05[IKE] IKE_SA ipsec-ikev2-vpn[7] thay đổi trạng thái: KẾT NỐI => PHÁ HỦY
Ngày 13 tháng 6 12:54:44 vpn-instance charon: 05[MGR] đăng ký và hủy IKE_SA thành công
Ngày 13 tháng 6 12:54:44 vpn-instance charon: 07[MGR] thanh toán IKEv2 SA với SPI 25159daea9f11f1d_i 64799938fac7977c_r
Ngày 13 tháng 6 12:54:44 vpn-instance charon: 07[MGR] IKE_SA ipsec-ikev2-vpn[8] đã kiểm xuất thành công
Ngày 13 tháng 6 12:54:44 vpn-instance charon: 07[JOB] xóa một nửa IKE_SA đang mở với xxx.xxx.xxx.xxx sau khi hết thời gian chờ
Ngày 13 tháng 6 12:54:44 vpn-instance charon: 07[MGR] đăng ký và hủy IKE_SA ipsec-ikev2-vpn[8]
Ngày 13 tháng 6 12:54:44 vpn-instance charon: 07[IKE] IKE_SA ipsec-ikev2-vpn[8] thay đổi trạng thái: KẾT NỐI => PHÁ HỦY
Ngày 13 tháng 6 12:54:44 vpn-instance charon: 07[MGR] đăng ký và hủy IKE_SA thành công
Ngày 13 tháng 6 12:54:54 vpn-instance charon: 08[MGR] thanh toán IKEv2 SA với SPI e2706de3b7c70401_i 3ff8ef2239e91120_r
Ngày 13 tháng 6 12:54:54 vpn-instance charon: 08[MGR] Thanh toán IKE_SA không thành công
Ngày 13 tháng 6 12:54:54 vpn-instance charon: 09[MGR] thanh toán IKEv2 SA với SPI 25159daea9f11f1d_i 64799938fac7977c_r
Ngày 13 tháng 6 12:54:54 vpn-instance charon: 09[MGR] Thanh toán IKE_SA không thành công

Xin vui lòng cho tôi biết những gì có thể sai?

Chỉnh sửa Tôi đã thêm nhiều đầu ra nhật ký hệ thống hơn ở trên khi tôi cố gắng kết nối từ nhật ký của mình.

Đây là /etc/ipsec.conf cấu hình:

thiết lập cấu hình
  charondebug="ike 2, knl 2, cfg 2, net 2, đặc biệt 2, dmn 2, mgr 2"
  nghiêm ngặtcrlpolicy=không
  duy nhất = có
  cachecrls=no

kết nối ipsec-ikev2-vpn
  auto=thêm
  nén = không
  loại = đường hầm
  keyexchange=ikev2
  phân mảnh = có
  forceencaps=yes
  dpdaction=xóa
  dpddelay=300s
  gõ lại = không
  còn lại =% bất kỳ
  leftid=xx.xxx.xxx.219
  leftcert=server.cert.pem
  leftsendcert=luôn luôn
  leftsubnet=0.0.0.0/0
  đúng =% bất kỳ
  rightid=%any
  rightauth=eap-mschapv2
  rightsourceip=192.168.0.0/24
  rightdns=8.8.8.8 # DNS sẽ được gán cho máy khách
  quyềnendcert=không bao giờ
  eap_identity=%identity

Cấu hình MacOS VPN chỉ là Địa chỉ máy chủ và ID từ xa là địa chỉ IP của máy chủ Ubuntu và Cài đặt xác thực có liên quan là tên người dùng và mật khẩu tôi đã đặt /etc/ipsec.secrets.

Tôi không thể thấy bất kỳ sự kiện nào liên quan đến vpn trong nhật ký trên Macbook, chẳng hạn như racoon.log hoặc ppp.log. Khó tìm thấy thông tin về nhật ký MacOS VPN trên mạng, đó là lý do tại sao việc tìm ra vấn đề này lại khó khăn. Nhật ký IKEv2 VPN có thể ở bất kỳ nơi nào khác trong BigSur?

giải quyết Phải đảm bảo tên người dùng và mật khẩu được áp dụng đúng cách trong Cài đặt xác thực mac IKEv2.

369
0 + 2
Ginnungagap avatar
lá cờ gu
Ginnungagap
Bạn không có nhật ký của daemon gấu trúc ở phía macOS để hiểu điều gì không thành công, nhật ký StrongSwan của bạn thưa thớt và bạn đang cố gắng gỡ lỗi, đồng thời bạn chưa hiển thị cấu hình StrongSwan cũng như thiết lập VPN của mình ở phía macOS. Tôi có các ứng dụng khách macOS kết nối với máy chủ StrongSwan trong quá trình sản xuất mà không gặp vấn đề gì, vì vậy tôi chắc chắn rằng đó không phải là việc có ứng dụng khách Ubuntu. Vui lòng đăng thông tin đầy đủ và có liên quan, đồng thời bật nhật ký StrongSwan chi tiết để theo dõi hành vi thực tế. Dự đoán tốt nhất của tôi liên quan đến việc không có CA trong Chuỗi khóa hệ thống hoặc không sử dụng EAP TLS.
0
Hồi đáp
lá cờ br
nealous3
@Ginnungagap Tôi đã cập nhật câu hỏi theo nhận xét của bạn. Nó bắt đầu hoạt động sau khi tôi thêm lại Xác thực. Nó cứ biến mất.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.