Здравствуйте!
Ломаю голову уже неделю и таки решился обратиться сюда, вдруг кто что ценное имеет из опыта...
Для начала: версия софта 2.60.02.02-24262
Задача: хочу поднять IPSec на DFL. Для чего? Хочу коннектится с мобилок (андроид, айось) и винды. Да, знаю, в винде нет чистоганом IPSec. Хочу в дальнейшем устроить L2TP-IPSec со всей этой мишуры, но пока вопрос чистого...
В общем, накурился всевозможных мануалов по настройке и совместимости и нафигачил чуть-чуть конфига, пытаюсь устроить коннект поочередно с айоси (яблофон) и андроида (сяомка).
В случае с айосью регулярно получаю такие ошибки:
Код:
2017-01-31
16:48:17 Info IPSEC
1803024
xauth_exchange_done
statusmsg="Authentication done"
2017-01-31
16:48:17 Info IPSEC
1803022
config_mode_exchange_event
msg="No attributes sent to client" reason="Could not allocate attributes"
2017-01-31
16:48:17 Info IPSEC
1802703
ike_sa_negotiation_completed
ike_sa_completed
local_peer="94.159.69.54 ID 94.159.69.54" remote_peer="83.220.238.1:51963 ID 100.87.18.250" initiator_spi="12e1d19b 3c6d0530" responder_spi="831173b9 369b7f3f" int_severity=6
2017-01-31
16:48:17 Info IPSEC
1802709
cfgmode_exchange_event
cfgmode=REPLY msg=completed int_severity=6
2017-01-31
16:48:17 Info IPSEC
1802703
ike_sa_negotiation_completed
ike_sa_completed
local_peer="94.159.69.54 ID 94.159.69.54" remote_peer="83.220.238.1:51963 ID 100.87.18.250" initiator_spi="12e1d19b 3c6d0530" responder_spi="831173b9 369b7f3f" int_severity=6
2017-01-31
16:48:17 Info IPSEC
1802024
ike_sa_negotiation_completed
options=Responder mode="Main Mode" auth="XAUTH I pre-shared keys" encryption=aes-cbc keysize=256 hash=sha1 dhgroup=2 bits=1024 lifetime=3600
Собсна, суть дела в том, что якобы не получается на клиента накинуть аттрибутов, типа ипа, и вообще, мол, создай-ка ты в IKE Config Mode Pool что-то. Как видно из лога, происходит только первая фаза IKE SA, до второй я ещё не добирался.
Так вот, если я ему пытаюсь что-то подставить в этот пул, то лог ошибки уже выглядит так:
Код:
2017-01-31
17:11:57 Warning IPSEC
1800109
ike_quickmode_failed
local_ip=94.159.69.54 remote_ip=83.220.238.1 cookies=3e5a538b843dff8bd19e53c4c026bd7f reason="No proposal chosen"
2017-01-31
17:11:57 Warning IPSEC
1803020
ipsec_sa_failed
no_ipsec_sa
statusmsg="No proposal chosen"
2017-01-31
17:11:57 Info IPSEC
1800102
ipsec_event
message=" Remote Proxy ID 172.16.0.210 any"
2017-01-31
17:11:57 Info IPSEC
1800102
ipsec_event
message=" Local Proxy ID 0.0.0.0/0 any"
2017-01-31
17:11:57 Info IPSEC
1802703
ike_sa_negotiation_completed
ike_sa_completed
local_peer="94.159.69.54 ID 94.159.69.54" remote_peer="83.220.238.1:52016 ID 100.87.18.250" initiator_spi="3e5a538b 843dff8b" responder_spi="d19e53c4 c026bd7f" int_severity=6
2017-01-31
17:11:57 Info IPSEC
1800102
ipsec_event
message="IPsec SA [Responder] negotiation failed:"
2017-01-31
17:11:57 Notice IPSEC
1802300
rule_selection_failed
info="Quick-Mode local ID mismatch" int_severity=6
2017-01-31
17:11:57 Info IPSEC
1803001
failed_to_select_policy_rule
2017-01-31
17:11:57 Warning IPSEC
1800102
ipsec_event
message=" Remote Proxy ID 172.16.0.210 any"
2017-01-31
17:11:57 Warning IPSEC
1800102
ipsec_event
message=" Local Proxy ID 0.0.0.0/0 any"
2017-01-31
17:11:57 Info IPSEC
1802703
ike_sa_negotiation_completed
ike_sa_completed
local_peer="94.159.69.54 ID 94.159.69.54" remote_peer="83.220.238.1:52016 ID 100.87.18.250" initiator_spi="3e5a538b 843dff8b" responder_spi="d19e53c4 c026bd7f" int_severity=4
2017-01-31
17:11:57 Warning IPSEC
1800102
ipsec_event
message="IPsec SA [Responder] negotiation failed:"
2017-01-31
17:11:57 Info IPSEC
1803024
xauth_exchange_done
statusmsg="Authentication done"
2017-01-31
17:11:57 Info IPSEC
1803023
config_mode_exchange_event
msg="IP address 172.16.0.210/24 assigned for client"
2017-01-31
17:11:57 Info IPSEC
1802703
ike_sa_negotiation_completed
ike_sa_completed
local_peer="94.159.69.54 ID 94.159.69.54" remote_peer="83.220.238.1:52016 ID 100.87.18.250" initiator_spi="3e5a538b 843dff8b" responder_spi="d19e53c4 c026bd7f" int_severity=6
2017-01-31
17:11:57 Info IPSEC
1802709
cfgmode_exchange_event
cfgmode=REPLY msg=completed int_severity=6
2017-01-31
17:11:57 Info IPSEC
1802703
ike_sa_negotiation_completed
ike_sa_completed
local_peer="94.159.69.54 ID 94.159.69.54" remote_peer="83.220.238.1:52016 ID 100.87.18.250" initiator_spi="3e5a538b 843dff8b" responder_spi="d19e53c4 c026bd7f" int_severity=6
2017-01-31
17:11:57 Info IPSEC
1802024
ike_sa_negotiation_completed
options=Responder mode="Main Mode" auth="XAUTH I pre-shared keys" encryption=aes-cbc keysize=256 hash=sha1 dhgroup=2 bits=1024 lifetime=3600
Т.е. я как бы задаю для него не правильный набор аутентификации. И всякое другое ругательство на ID Mismatch.
Вот здесь я и завис. Я прочитал на сайте яблока, что подерживается несколько режимов IPSec, один из которых я и пытаюсь попользовать (IPSec PSK XAuth).
Единственное, что меня смущает - это лого Сиськи в клиенте яблофон, что как бы намекает на то, под какую железку он (клиет) заточен. Я прав? Без Сиськи не справиться?
Далее, случай с андроидом.
Ровно все те же самые приколы про IKE Config Mode и Proposal, но клиент андроида хотя бы показывает на минуты 3-5, что статус Connected, я так понимаю из-за успешных IKE SA, но никаких IPSec SA так и не появляется в DFL.
Подскажите, кто-то имел дело с мобилками и DFL-860E? Либо же я что-то не то вытворяю...