Created attachment 16292 [details] Лог соединения после обновления до 5.9.14-аlt2 После того, как поравились скрипты (см. #50673), пакет alt2 поставился без проблем. Однако, установить соединение не удаётся (см. лог). Откатываться назад уже надо с одновременным откатом NetworkManager-strongswan... :-)
Здравствуйте, у меня такая же проблема Писал тут https://bugzilla.altlinux.org/50673
Добрый день всем. Проверил на свежей Регулярке (Gnome) rpm -qa | grep strongswan === NetworkManager-strongswan-gtk-common-1.6.0-alt1.x86_64 NetworkManager-strongswan-1.6.0-alt1.x86_64 strongswan-5.9.14-alt2.x86_64 strongswan-charon-nm-5.9.14-alt2.x86_64 NetworkManager-strongswan-gtk4-1.6.0-alt1.x86_64 1) Судя по вот этому репорту https://wiki.strongswan.org/issues/2361 NM до сих пор не умеет в импорт sswan файла 2) По вот этому гайду достал сертификаты: # Example: Extract CA certificate, client certificate and private key. # You may delete the .p12 file when finished. # Note: You may need to enter the import password, which can be found # in the output of the IKEv2 helper script. If the output does not # contain an import password, press Enter to continue. # Note: If using OpenSSL 3.x (run "openssl version" to check), # append "-legacy" to the 3 commands below. openssl pkcs12 -in vpnclient.p12 -cacerts -nokeys -out ca.cer openssl pkcs12 -in vpnclient.p12 -clcerts -nokeys -out client.cer openssl pkcs12 -in vpnclient.p12 -nocerts -nodes -out client.key rm vpnclient.p12 3) По вот этому создал коннект (у меня IPSec IKEv2) - Go to Settings -> Network -> VPN. Click the + button. - Select IPsec/IKEv2 (strongswan). - Enter anything you like in the Name field. - In the Gateway (Server) section, enter Your VPN Server IP (or DNS name) for the Address. - Select the ca.cer file for the Certificate. - In the Client section, select Certificate(/private key) in the Authentication drop-down menu. - Select Certificate/private key in the Certificate drop-down menu (if exists). - Select the client.cer file for the Certificate (file). - Select the client.key file for the Private key. - In the Options section, check the Request an inner IP address checkbox. - Turn the VPN switch ON. И все работает, проверял на 2ip.ru :)
(Ответ для iQQator на комментарий #2) > И все работает, проверял на 2ip.ru :) Доброго времени суток. Если у Вас есть возможность, проверьте пожалуйста еще на l2tp У меня лично не работает, впрочем как и у многих
(In reply to Aleksandr Shamaraev from comment #3) > (Ответ для iQQator на комментарий #2) > > И все работает, проверял на 2ip.ru :) > > Доброго времени суток. > > Если у Вас есть возможность, проверьте пожалуйста еще на l2tp > У меня лично не работает, впрочем как и у многих Не работает на L2TP с предварительно заданным ключом, НЕ с сертификатом...
(Ответ для Sergei Naumov на комментарий #4) > Не работает на L2TP с предварительно заданным ключом, НЕ с сертификатом... Согласен Я также использую Pre-shared key
Написал на форуме stringswan - говорят потому что зачем-то грузится плагин kernel-libipsec. Пока ещё не проверял у себя - позже... https://github.com/strongswan/strongswan/discussions/2312
Проверил - работает. Нужно не загружать kernel-libipsec: в /etc/strongswan/strongswan.d/charon/kernel-libipsec.conf поставить "load = no"
Добрый день, Sergei! Не могли бы, пожалуйста, предоставить описание вашего стенда и примеры конфигураций для проверки воспроизведения данной ошибки?
Нет никакого стенда. Обычный компьютер. Текущий Сизиф. Чтобы воспроизвести надо вернуть плагин kernel-libipsec в конфигурацию strongswan. То есть в /etc/strongswan/strongswan.d/charon/kernel-libipsec.conf поставить "load = yes"
(Ответ для Sergei Naumov на комментарий #9) > Нет никакого стенда. Обычный компьютер. Текущий Сизиф. Чтобы воспроизвести > надо вернуть плагин kernel-libipsec в конфигурацию strongswan. То есть > > в /etc/strongswan/strongswan.d/charon/kernel-libipsec.conf поставить "load = > yes" Коллега, вы тут опечатались... "load = no" тогда работает
Так и есть, только вопрос выше от Анастасии был как раз про то, как воспроизвести... :-)
strongswan-5.9.14-alt3 -> sisyphus: Wed Aug 21 2024 Alexey Shabalin <shaba@altlinux> 5.9.14-alt3 - disable bypass-lan plugin in config - disable kernel-libipsec plugin (ALT #50684) in config - enable build af-alg (AF_ALG crypto interface to Linux Crypto API) - enable build rdrand (Intel RDRAND random generator plugin) for x86 - enable build connmark, forecast, lookip plugins