LibreSwan -> Fortigate (только IPsec, без SSL) дает: превышено 60-секундное время ожидания после 7 повторных передач. Нет ответа на наше первое сообщение IKEv2.
Я пытаюсь подключить VPN-клиент Linux (Debian 10.10) к серверу Fortigate.
Видимо, это не так хорошо изучено.
Вот этот документ: https://kb.fortinet.com/kb/documentLink.do?externalID=11835 ... на котором я основываю свою работу, но все равно получаю:
STATE_PARENT_I1: 60 second timeout exceeded after 7 retransmits. No response (or no acceptable response) to our first IKEv2 message
Или более конкретно:
002 "officelan": deleting non-instance connection
002 "officelan" #10: deleting state (STATE_PARENT_I1) and NOT sending notification
002 added connection description "officelan"
002 "officelan" #11: initiating v2 parent SA
133 "officelan" #11: initiate
002 "officelan" #11: constructed local IKE proposals for officelan (IKE SA initiator selecting KE): 1:IKE:ENCR=AES_GCM_C_256;PRF=HMAC_SHA2_256;INTEG=NONE;DH=MODP2048
133 "officelan" #11: STATE_PARENT_I1: sent v2I1, expected v2R1
010 "officelan" #11: STATE_PARENT_I1: retransmission; will wait 0.5 seconds for response
010 "officelan" #11: STATE_PARENT_I1: retransmission; will wait 1 seconds for response
010 "officelan" #11: STATE_PARENT_I1: retransmission; will wait 2 seconds for response
010 "officelan" #11: STATE_PARENT_I1: retransmission; will wait 4 seconds for response
010 "officelan" #11: STATE_PARENT_I1: retransmission; will wait 8 seconds for response
010 "officelan" #11: STATE_PARENT_I1: retransmission; will wait 16 seconds for response
010 "officelan" #11: STATE_PARENT_I1: retransmission; will wait 32 seconds for response
031 "officelan" #11: STATE_PARENT_I1: 60 second timeout exceeded after 7 retransmits. No response (or no acceptable response) to our first IKEv2 message
000 "officelan" #11: starting keying attempt 2 of an unlimited number, but releasing whack
Я использую эти команды для получения вышеизложенного:
systemctl start ipsec.service
/usr/sbin/ipsec auto --add officelan
/usr/sbin/ipsec auto --up officelan
Мой /etc/ipsec.d/officelan.conf выглядит так:
conn officelan
rekey=yes
rightid=officelan
left=192.168.1.101
leftsubnet=192.168.1.0/24
right=<redacted-ip-address>
rightsubnet=172.40.0.0/24
ikelifetime=28800s
authby=secret
type=tunnel
auto=start
ike=aes_gcm256-sha2
esp=aes_gcm256-null
ikev2=insist
fragmentation=yes
#perfect forward secrecy (default yes)
#pfs=no
#optionally enable compression
compress=yes
И мой /etc/ipsec.d/officelan.secrets выглядит так:
host.example.com %any : PSK "bigrandomsecret"
Не знаю, актуально это или нет, но ike-scan сервер не нравится:
$ ike-scan ip-of-server.example.com
below cmd output started 2021 Wed Jul 07 03:50:45 PM PDT
Starting ike-scan 1.9.4 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
Ending ike-scan 1.9.4: 1 hosts scanned in 2.443 seconds (0.41 hosts/sec). 0 returned handshake; 0 returned notify
Вот nmap сервера (1.1.1.1 — не настоящий IP-адрес):
$ nmap -P0 -sU -p 500 1.1.1.1
Starting Nmap 7.70 ( https://nmap.org ) at 2021-07-08 07:25 PDT
Nmap scan report for 1.1.1.1
Host is up.
PORT STATE SERVICE
500/udp open|filtered isakmp
Nmap done: 1 IP address (1 host up) scanned in 4.16 seconds
Вотip route showвыход:
default via 192.168.1.254 dev eno1 proto dhcp metric 100
169.254.0.0/16 dev eno1 scope link metric 1000
192.168.1.0/24 dev eno1 proto kernel scope link src 192.168.1.101 metric 100
Я гуглил часами, но тайм-ауты все еще возникают.
У меня есть 3 связанных вопроса:
- Как мне установить работающую VPN от Debian 10.10 до Fortigate(неизвестная версия, я не могу контролировать сервер) с помощью LibreSwan 3.27-6+deb10u1?
- Почему LibreSwan не запрашивает у меня пароль и данные 2fa? Когда я пробовал VPN, он запрашивал их каждый раз, когда я пытался инициировать соединение.
- Только если это звучит уместно: почему ike-scan не нравится сервер Fortigate?
Спасибо!