- Remove From My Forums
-
General discussion
-
Доброго времени суток имеется win 7 при подключении через ikev2 vpn ошибка 13868 ошибка сопоставления групповой политики я по подключаюсь к windows server 2012 r2 там поднята роль маршрутизация и удаленный доступ чего
ошибка скажите?На других машинах windows7,8.10 проблем нет с ikev2 vpn !
-
Edited by
Александр700
Saturday, February 9, 2019 12:41 AM -
Changed type
Anton Sashev Ivanov
Wednesday, February 20, 2019 8:14 AM
Обсуждение
-
Edited by
All replies
-
Попробуйте рекомендации из топика:
ikev2, anyone got it working?
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий.
-
Попробуйте рекомендации из топика:
ikev2, anyone got it working?
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий.
где попробувать на серваке 2012r2 или на windows 7?
-
Edited by
Александр700
Sunday, February 10, 2019 3:08 AM
-
Edited by
- Remove From My Forums
-
General discussion
-
Доброго времени суток имеется win 7 при подключении через ikev2 vpn ошибка 13868 ошибка сопоставления групповой политики я по подключаюсь к windows server 2012 r2 там поднята роль маршрутизация и удаленный доступ чего
ошибка скажите?На других машинах windows7,8.10 проблем нет с ikev2 vpn !
-
Edited by
Александр700
Saturday, February 9, 2019 12:41 AM -
Changed type
Anton Sashev Ivanov
Wednesday, February 20, 2019 8:14 AM
Обсуждение
-
Edited by
All replies
-
Попробуйте рекомендации из топика:
ikev2, anyone got it working?
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий.
-
Попробуйте рекомендации из топика:
ikev2, anyone got it working?
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий.
где попробувать на серваке 2012r2 или на windows 7?
-
Edited by
Александр700
Sunday, February 10, 2019 3:08 AM
-
Edited by
1
1
Здравствуйте. Я начинающий админ. Пытаюсь поднять vpn strongswan за роутером, у роутера IP белый. Сервер на CentOS 7 (IP 192.168.1.22). Форвардинг включен. Ниже мой ipsec.conf
config setup
charondebug="ike 2, knl 2, cfg 2"
uniqueids = no # позволяет подключаться нескольким клиентам с одним сертификатом
conn %default
ikelifetime=60m
keylife=20m
rekeymargin=3m
forceencaps=yes
dpdaction=clear
dpddelay=35s
dpdtimeout=300s
rekey=no
left=192.168.1.22
leftid=192.168.1.22
compress=no
fragmentation=yes
leftsubnet=192.168.1.0/24
right=%any
keyexchange=ikev2
ike=aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,3d
esp=aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1-mo
conn ikev2-mschapv2
leftauth=eap-mschapv2
rightauth=eap-mschapv2
auto=route
Подключаюсь из Windows 10 по логину-паролю, она пишет «Ошибка сопоставления групповой политики». Причем неважно какой логин-пароль.
В логе strongswan вот это:
Jul 17 11:59:32 15[IKE] <23> no IKE config found for 192.168.1.22...188.ххх.ххх.ххх, sending NO_PROPOSAL_CHOSEN
Подскажете, что у меня не так с конфигом?
И второй вопрос: если я буду генерить ключи для сервера, мне какой ip указывать, локальный или белый IP роутера, или можно указать локальное имя сервера?
Перед настройкой VPN-подключения, в дереве пользователей откройте карточку нужного пользователя и установите флаг Разрешить удаленный доступ через VPN. Для этого перейдите в раздел Пользователи -> Учетные записи.
Не рекомендуем использовать для VPN-подключений кириллические логины.
L2TP IPsec клиенты, находящиеся за одним NAT’ом, могут испытывать проблемы подключения если их более одного. Решить проблему может помочь
инструкция
. Рекомендуем вместо L2TP IPsec использовать IKEv2 IPSec.
Перед созданием VPN-подключения для протоколов SSTP, L2TP и IKEv2, следует установить корневой сертификат локально на компьютер:
2. Нажмите Пуск, найдите и запустите mmc.exe;
3. Нажмите Файл -> Добавить или удалить оснастку:
4. Выберите Сертификаты и нажмите Добавить:
5. Установите флаг в строке учетной записи компьютера, нажмите Далее -> Готово -> ОК:
6. В окне Консоль появится пункт Сертификаты (локальный компьютер):
-
Выберите его и нажмите правой кнопкой мыши на пункте Доверенные корневые центры сертификации;
-
Далее Все задачи -> Импорт
-
В окне Мастер импорта сертификатов нажмите Далее -> Обзор -> Выберите скачанный в пункте 1 -> Далее -> Далее -> Готово.
1. Выберите Сеть -> Центр управления сетями и общим доступом:
2. Нажмите Настройка нового подключения или сети:
3. Выберите Подключение к рабочему месту и Далее:
4. Нажмите Использовать мое подключение к интернету (VPN) и заполните следующие поля:
-
Интернет-адрес — впишите имя VPN-сервера, например vpn.test.ru
-
Имя местоназачения — напишите произвольное название подключения
Установите флаг в пункте Не подключаться сейчас, только выполнить установку для подключения в будущем
5. В окне Введите имя пользователя и пароль заполните соответствующие поля;
6. Нажмите Создать, далее Закрыть;
7. В окне Центр управления сетями и общим доступом, выберите в левом верхнем углу Изменение параметров адаптера:
8. Нажмите правой кнопкой мыши на созданное подключение, выберите Свойства:
9. В открывшемся окне выполните следующие действия:
-
На вкладке Сеть — снимите отметки со всех пунктов, кроме Протокол Интернета версии 4
-
-
в строке Тип VPN выберите нужный тип подключения
-
в строке Шифрование данных выберите обязательное(отключиться, если нет шифрования)
-
в строке Проверка подлинности выберите Разрешить следующие протоколы
-
оставьте флаг только в пункте Протокол Microsoft СНАР версии 2 (MS-CHAP v2)
-
При необходимости заполните Дополнительные свойства
10. Нажмите OK и закройте Центр управления сетями и общим доступом;
11. В трее нажмите Сеть. Откроется окно с созданным VPN-подключением;
12. Нажмите правой кнопкой мыши по подключению и выберите Подключить.
Ошибки работы VPN-подключений
Если VPN-подключение по протоколам IPSeс в Windows автоматически разрывается через 7 часов 45 минут и при подключении по IKEv2 возникает ошибка «Ошибка сопоставления групповой политики» или ошибка с кодом «13868»
Для восстановления связи подойдут следующие действия:
1. Переподключите соединение. В данном случае соединение восстановится, но через 7 часов 45 минут вновь будет автоматически разорвано. Если вы хотите, чтобы подключение не разрывалось автоматически, то выполните действия из следующего пункта.
2. Внесите изменения в реестр:
-
Откройте Редактор реестра;
-
Перейдите по пути
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasManParameters; -
Нажмите правой кнопкой мыши по параметру именем NegotiateDH2048_AES256 и нажмите Изменить;
-
В строке Значение укажите значение
1:
-
Если параметра именем NegotiateDH2048_AES256 нет, то создайте его. Для этого:
-
Нажмите правой кнопкой мыши по свободному месту реестра в Parameters и выберите Создать -> DWORD:
-
Задайте имя NegotiateDH2048_AES256;
-
Нажмите правой кнопкой мыши по созданному файлу и выберите Изменить:
-
В строке Значение укажите значение
1:
3. Перезагрузите Windows.
Если вы не хотите, чтобы после подключения по VPN интернет-трафик до внешних ресурсов ходил через Ideco UTM, то в свойствах VPN-подключения Сеть/Протокол интернета TCP/IP версии 4/Дополнительно уберите галочку Использовать основной шлюз в удаленной сети. Далее, чтобы получить доступ к компьютерам за Ideco UTM, вручную пропишите маршруты.
I have the newest version of Strongswan vpn on my ubuntu server running.
I followed this tutorial here and got it to work on my android and Iphone.
Now I want to get it to work on my windows 10 laptop but when I try to connect via the vpn settings in windows I only get a «policy match error» and the event view gives me the error code «13868».
After much googling I still cant find any working solution.
What can I do?
asked Apr 30, 2019 at 10:02
sirzentosirzento
1831 gold badge1 silver badge5 bronze badges
The problem is most likely that the Windows client proposes a weak Diffie-Hellman (DH) group (1024-bit MODP). That group is not used anymore by strongSwan unless the user configures it explicitly.
You have two options:
- Configure Windows to use a stronger DH group. This can be done either
- via Set-VpnConnectionIPsecConfiguration PowerShell cmdlet, which allows enabling stronger DH groups (e.g. group 14/2048-bit MODP or 384-bit ECP) and even other algorithms (e.g. AES-GCM combined-mode encryption/integrity, which is more efficient, but needs to be enabled explicitly on the server too)
- or via registry by adding the DWORD key
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRasmanParametersNegotiateDH2048_AES256. Set it to1to enable (the other algorithms are still proposed), or2to enforce the use of 256-bit AES-CBC and 2048-bit MODP DH (only these will be proposed).
- Add the proposed, weak DH group (1024-bit MODP) to the IKE proposal on the server (e.g. configure something like
ike=aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024, which adds it at the end so other clients may use stronger DH groups).
Option 1 is definitely preferred.
answered Apr 30, 2019 at 13:16
ecdsaecdsa
3,87014 silver badges29 bronze badges
3
To find out what is the problem you should, as a first step, turn on logging and see what happens during the connection process. Here is the example config I use on my server.
/etc/strongswan.d/charon-logging.conf
charon {
# Section to define file loggers, see LOGGER CONFIGURATION in
# strongswan.conf(5).
filelog {
# <filename> is the full path to the log file.
/var/log/strongswan.log {
# Loglevel for a specific subsystem.
# <subsystem> = <default>
# If this option is enabled log entries are appended to the existing
# file.
append = yes
# Default loglevel.
default = 2
# Enabling this option disables block buffering and enables line
# buffering.
# flush_line = no
# Prefix each log entry with the connection name and a unique
# numerical identifier for each IKE_SA.
ike_name = yes
# Adds the milliseconds within the current second after the
# timestamp (separated by a dot, so time_format should end with %S
# or %T).
# time_add_ms = no
# Prefix each log entry with a timestamp. The option accepts a
# format string as passed to strftime(3).
# time_format =
}
}
}
U can use it and analyze the log file to discover the issue. If you will not able to figure it out, post a connection log here I will try to help you.
answered Apr 30, 2019 at 10:31
3
Пролог:
Прочел все мануалы по IPsec на DFL.
Затем прочел все мануалы по IPsec на других устройствах, которые смог найти.
Попробовал различные комбинации.
Вводная: имеется DFL-260 со статическим белым адресом с одноранговой локалью за ним. Хочу подключаться к этой локалке через IPsec туннель с мобильной связи, из любой точки. Т. е. подключаться придется зачастую с динамического серого (NAT) адреса.
Пробовал подключаться:
1. штатными средствами Win7 (L2TP IPsec VPN, IKEv2) (NAT);
2. штатными средствами Android (L2TP/IPSec PSK, IPSec Xauth PSK) (мобильный интернет — NAT);
3. штатными средствами Ios (IKEv2, IPSec, L2TP) (мобильный интернет — NAT).
Все безрезультатно.
1. При попытке подключения с Win7 по L2TP IPsec VPN, выдается ошибка 788: Попытка L2TP-подключения не удалась, поскольку на уровне безопасности не удалось согласовать параметры с удаленным компьютером.
В логах на DFL следующее:
Код:
2018-08-15
12:27:15
Info
IPSEC
1800904 ike_sa_created
ipsec_if=dynamic_ipsec local_ip=<ВНЕШНИЙ IP DFL> local_port=4500 remote_iface=wan remote_ip=<ВНЕШНИЙ IP компа> remote_port=57944 local_id=<ВНЕШНИЙ IP DFL> remote_id=<ЛОКАЛЬНЫЙ IP компа в его локальной сети>local_ike_spi=0xa1f871a70951d192 remote_ike_spi=0x53bc392752c1ec0c initiator=FALSE algorithms=aes256-cbc/hmac-sha1-96/hmac-sha1/MODP_2048 mode=Main lifetime=28800 ikeversion=1 local_behind_nat=TRUE remote_behind_nat=TRUE initial_contact=FALSE
2018-08-15
12:27:15
Info
IPSEC
1802023 ike_sa_statistics
done=183 success=19 failed=164
2018-08-15
12:27:15
Info
IPSEC
1802049 [b]ipsec_sa_failed[/b]
ipsec_sa_disabled
statusmsg=»No proposal chosen» reason=»Peer IP address mismatch. Local Traffic Selector mismatch.» local_peer=»<ВНЕШНИЙ IP DFL>:4500 ID <ВНЕШНИЙ IP DFL>» remote_peer=»<ВНЕШНИЙ IP компа>:57944 ID <ЛОКАЛЬНЫЙ IP компа в его локальной сети>» ike_spi_i=0x53bc392752c1ec0c ike_spi_r=0xa1f871a70951d192
2018-08-15
12:27:15
Notice
IPSEC
1800105 ike_delete_notification
local_ip=<ВНЕШНИЙ IP DFL> remote_ip=<ВНЕШНИЙ IP компа> cookies=0x53bc392752c1ec0ca1f871a70951d192 reason=»Received delete notification»
2018-08-15
12:27:15
Info
IPSEC
1800906 ike_sa_deleted
ipsec_if=dynamic_ipsec local_ip=<ВНЕШНИЙ IP DFL> local_port=4500 remote_iface=wan remote_ip=<ВНЕШНИЙ IP компа> remote_port=57944 local_id=<ВНЕШНИЙ IP DFL> remote_id=<ЛОКАЛЬНЫЙ IP компа в его локальной сети> local_ike_spi=0xa1f871a70951d192 remote_ike_spi=0x53bc392752c1ec0c peer_dead=FALSE
Я так понимаю, первая фаза(ike) проходит нормально, а вторая(ipsec) прерывается из-за несоответствия внешнего ip и «id» инициатора туннеля. Если я прав, то что с этим делать?
При попытке подключения по IKEv2, Win7 выдает ошибку 13868: Ошибка сопоставления групповой политики.
В логах DFL следующее:
Код:
2018-08-15
12:40:56
Error
IPSEC
1802221 no_matching_tunnel_found
packet_will_be_discarded
localaddr=<ВНЕШНИЙ IP DFL> remoteaddr=<ВНЕШНИЙ IP компа> srcif=wan
2018-08-15
12:40:56
Warning
IPSEC
1802022 ike_sa_failed
no_ike_sa
statusmsg=»No proposal chosen» reason=»» local_peer=»<ВНЕШНИЙ IP DFL>:500 ID (null)» remote_peer=»<ВНЕШНИЙ IP компа>:500 ID (null)» spi_i=0x1960bcb26ab80e2c spi_r=0x6460b7a0d3e77fc4 initiator=FALSE
2018-08-15
12:40:56
Info
IPSEC
1802023 ike_sa_statistics
done=204 success=19 failed=185
2. При попытке подключения с Android по L2TP/IPSec PSK, соединение висит в состоянии «подключение», затем, спустя секунд 30 — «сбой».
В логах DFL следующее:
Код:
2018-08-15
12:44:57
Error
IPSEC
1802221 no_matching_tunnel_found
packet_will_be_discarded
localaddr=<ВНЕШНИЙ IP DFL> remoteaddr=<ВНЕШНИЙ IP Android> srcif=wan
2018-08-15
12:44:57
Warning
IPSEC
1800107 ike_invalid_proposal
local_ip=<ВНЕШНИЙ IP DFL> remote_ip=<ВНЕШНИЙ IP Android> cookies=0xd473938d4b3cf3eb5230d23d5b24cf6d reason=»Could not find acceptable proposal»
2018-08-15
12:44:57
Warning
IPSEC
1802022 ike_sa_failed
no_ike_sa
statusmsg=»No proposal chosen» reason=»» local_peer=»<ВНЕШНИЙ IP DFL>:500 ID (null)» remote_peer=»<ВНЕШНИЙ IP Android>:500 ID (null)» spi_i=0xd473938d4b3cf3eb spi_r=0x5230d23d5b24cf6d initiator=FALSE
2018-08-15
12:44:57
Info
IPSEC
1802023 ike_sa_statistics
done=211 success=19 failed=192
Тут, я так понимаю, не угадал с набором алгоритмов первой фазы. Как их следует изменить?
При попытке подключения с Android по IPSec Xauth PSK, соединение висит в состоянии «подключение», затем, спустя секунд 30 — «сбой».
В логах DFL то же самое. (хотя, при каких-то других параметрах, в логе было что-то похожее на несоответствие IP и ID)
3. При попытках подключения Ios по IKEv2 и IPSec содержимое лога идентичное ситуации, когда неверно подобраны алгоритмы 1 фазы.
При попытке подключения по L2TP — несоответствие IP и ID.
Как быть, куда копать? Вообще, возможно ли поднятие туннеля в таких условиях?
Настройки IPsec:
Вложение:
Комментарий к файлу: Настройки IPsec 1
IPSec_01.jpg [ 53.82 KiB | Просмотров: 5843 ]
Вложение:
Комментарий к файлу: Настройки IPSec 2
IPSec_02.jpg [ 77.54 KiB | Просмотров: 5843 ]
Вложение:
Комментарий к файлу: Настройки IPsec 3
IPSec_03.jpg [ 98.89 KiB | Просмотров: 5843 ]
Последний раз редактировалось aNGEl0 Ср авг 15, 2018 13:01, всего редактировалось 1 раз.
- Печать
Страницы: [1] Вниз
Тема: бьюсь с VPN IPsec IKEv2 strongSwan на Ubuntu-server (Прочитано 2211 раз)
0 Пользователей и 1 Гость просматривают эту тему.
zaka4kin
Доброго времени…
на виртуальной обкатке имею:
Ubuntu-server 20.04 + strongSwan 5.8.2
и
Win10 20H2 x64.
обе лежат в одной сети.
ipsec.conf срисовал отсюда. оттуда же и ipsec.secrets.
подключаюсь… выползла ошибка 13868, пофиксил.
прописал пока «ike=aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024″…
НО винда не унимается… выдаёт «ошибку обработки полезных данных ke» за номером 13833.
может кто сталкивался?
второй вопрос — реально ли замутить VPN IPsec IKEv2 без центра сертификации, генерации сертификата и прочего?
(прошу прощения за возможно неправильные термины/понятия. только начал щупать данную тему).
вопрос возник потому, что у них то инфа про это есть
https://www.strongswan.org/testing/testresults/ikev2/rw-psk-ipv4/.
яж не ошибся, там чисто по ключу подключение, без сертификатов всяких?
Спасибо!
AlexDem
яж не ошибся, там чисто по ключу подключение, без сертификатов всяких?
А в чем проблема сделать самому сертификат Х.509 сервера, клиента, ключей и пр., и пользоваться этим всем хозяйством?
Принцип безопасного соединения заключается в том, что поскольку те открытые ключи, которыми обмениваются клиент и сервер передаются изначально по незащищенному каналу и могут быть перехвачены, расшифрованы и подменены, поэтому достоверность ключей по которым клиент и сервер «узнают» друг-друга подтверждаются сертификатами, которые хранятся локально на клиенте и сервере и никуда не передаются во время сеанса связи, а следовательно не могут быть взломаны (ну, если их не похитили отдельно).
Поэтому VPN без сертификата это просто шифрование закрытым симметричным ключом.
zaka4kin
Доброго времени всем…
собрал стенд на virtualbox:
Win-клиент — NAT (10.0.10.0/24) — Ubuntu-Server 20.04 + VPN IKEv2-сервер (10.0.10.10)
адрес хоста 10.89.7.2. UDP 500, 4500 пробросил с 10.89.7.2 на 10.0.10.10 в Файл -> Настройки -> Сеть.
отключил брандмауэр на Windows и UFW на Ubuntu-server (подстраховался)…
подготовка сертификатов:
ipsec.conf:
пробовал и
left=%defaultroute
leftfirewall=yes
ipsec.secrets
не хочет подключаться и всё, «ошибка сопоставления групповой политики».
если и сервер и клиент в одной подсети, то подключение проходит,
без
[code]left=%defaultroute
leftfirewall=yes
естественно.
Что я упускаю из виду?
- Печать
Страницы: [1] Вверх
Чтобы выяснить, в чем заключается проблема, вы должны, в качестве первого шага, включить ведение журнала и посмотреть, что происходит во время процесса подключения. Вот пример конфигурации, который я использую на своем сервере.
/etc/strongswan.d/charon-logging.conf
charon {
# Section to define file loggers, see LOGGER CONFIGURATION in
# strongswan.conf(5).
filelog {
# <filename> is the full path to the log file.
/var/log/strongswan.log {
# Loglevel for a specific subsystem.
# <subsystem> = <default>
# If this option is enabled log entries are appended to the existing
# file.
append = yes
# Default loglevel.
default = 2
# Enabling this option disables block buffering and enables line
# buffering.
# flush_line = no
# Prefix each log entry with the connection name and a unique
# numerical identifier for each IKE_SA.
ike_name = yes
# Adds the milliseconds within the current second after the
# timestamp (separated by a dot, so time_format should end with %S
# or %T).
# time_add_ms = no
# Prefix each log entry with a timestamp. The option accepts a
# format string as passed to strftime(3).
# time_format =
}
}
}
Вы можете использовать его и проанализировать файл журнала, чтобы обнаружить проблему. Если вы не сможете разобраться, опубликуйте журнал подключений здесь, я постараюсь вам помочь.