#50684 – Не устанавливается соединение после обновления до 5.9.14-alt2

Bug 50684 - Не устанавливается соединение после обновления до 5.9.14-alt2

Summary: Не устанавливается соединение после обновления до 5.9.14-alt2

Status:	CLOSED FIXED

Alias:	None

Product:	Sisyphus
Classification:	Development
Component:	strongswan (show other bugs)
Version:	unstable
Hardware:	x86_64 Linux

Importance:	P5 normal
Assignee:	Michael Shigorin
QA Contact:	qa-sisyphus

URL:
Keywords:

Depends on:
Blocks:

Reported:	2024-06-19 09:22 MSK by Sergei Naumov
Modified:	2024-08-21 21:46 MSK (History)
CC List:	5 users (show)

See Also:

Attachments
Лог соединения после обновления до 5.9.14-аlt2 (16.17 KB, text/plain) 2024-06-19 09:22 MSK, Sergei Naumov	no flags	Details
View All Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Sergei Naumov 2024-06-19 09:22:05 MSK

Created attachment 16292 [details]
Лог соединения после обновления до 5.9.14-аlt2

После того, как поравились скрипты (см. #50673), пакет alt2 поставился без проблем. Однако, установить соединение не удаётся (см. лог). Откатываться назад уже надо с одновременным откатом NetworkManager-strongswan... :-)

Comment 1 Aleksandr Shamaraev 2024-06-19 23:37:55 MSK

Здравствуйте, у меня такая же проблема 

Писал тут

https://bugzilla.altlinux.org/50673

Comment 2 iQQator 2024-06-24 14:56:54 MSK

Добрый день всем.
Проверил на свежей Регулярке (Gnome)

rpm -qa | grep strongswan
===
NetworkManager-strongswan-gtk-common-1.6.0-alt1.x86_64
NetworkManager-strongswan-1.6.0-alt1.x86_64
strongswan-5.9.14-alt2.x86_64
strongswan-charon-nm-5.9.14-alt2.x86_64
NetworkManager-strongswan-gtk4-1.6.0-alt1.x86_64


1) Судя по вот этому репорту https://wiki.strongswan.org/issues/2361 NM до сих пор не умеет в импорт sswan файла

2) По вот этому гайду достал сертификаты:
# Example: Extract CA certificate, client certificate and private key.
#          You may delete the .p12 file when finished.
# Note: You may need to enter the import password, which can be found
#       in the output of the IKEv2 helper script. If the output does not
#       contain an import password, press Enter to continue.
# Note: If using OpenSSL 3.x (run "openssl version" to check),
#       append "-legacy" to the 3 commands below.
openssl pkcs12 -in vpnclient.p12 -cacerts -nokeys -out ca.cer
openssl pkcs12 -in vpnclient.p12 -clcerts -nokeys -out client.cer
openssl pkcs12 -in vpnclient.p12 -nocerts -nodes  -out client.key
rm vpnclient.p12

3) По вот этому создал коннект (у меня IPSec IKEv2)

- Go to Settings -> Network -> VPN. Click the + button.
- Select IPsec/IKEv2 (strongswan).
- Enter anything you like in the Name field.
- In the Gateway (Server) section, enter Your VPN Server IP (or DNS name) for the Address.
- Select the ca.cer file for the Certificate.
- In the Client section, select Certificate(/private key) in the Authentication drop-down menu.
- Select Certificate/private key in the Certificate drop-down menu (if exists).
- Select the client.cer file for the Certificate (file).
- Select the client.key file for the Private key.
- In the Options section, check the Request an inner IP address checkbox.
- Turn the VPN switch ON.

И все работает, проверял на 2ip.ru :)

Comment 3 Aleksandr Shamaraev 2024-06-24 15:00:24 MSK

(Ответ для iQQator на комментарий #2)
> И все работает, проверял на 2ip.ru :)

Доброго времени суток.

Если у Вас есть возможность, проверьте пожалуйста еще на l2tp
У меня лично не работает, впрочем как и у многих

Comment 4 Sergei Naumov 2024-06-24 22:22:36 MSK

(In reply to Aleksandr Shamaraev from comment #3)
> (Ответ для iQQator на комментарий #2)
> > И все работает, проверял на 2ip.ru :)
> 
> Доброго времени суток.
> 
> Если у Вас есть возможность, проверьте пожалуйста еще на l2tp
> У меня лично не работает, впрочем как и у многих

Не работает на L2TP с предварительно заданным ключом, НЕ с сертификатом...

Comment 5 Aleksandr Shamaraev 2024-06-25 11:36:23 MSK

(Ответ для Sergei Naumov на комментарий #4)
> Не работает на L2TP с предварительно заданным ключом, НЕ с сертификатом...

Согласен
Я также использую Pre-shared key

Comment 6 Sergei Naumov 2024-06-27 09:50:19 MSK

Написал на форуме stringswan - говорят потому что зачем-то грузится плагин kernel-libipsec. Пока ещё не проверял у себя - позже...

https://github.com/strongswan/strongswan/discussions/2312

Comment 7 Sergei Naumov 2024-07-02 09:20:33 MSK

Проверил - работает. Нужно не загружать kernel-libipsec: в /etc/strongswan/strongswan.d/charon/kernel-libipsec.conf поставить "load = no"

Comment 8 Osmolovskaya Anastasia 2024-08-02 13:22:18 MSK

Добрый день, Sergei!

Не могли бы, пожалуйста, предоставить описание вашего стенда и примеры конфигураций для проверки воспроизведения данной ошибки?

Comment 9 Sergei Naumov 2024-08-02 22:29:55 MSK

Нет никакого стенда. Обычный компьютер. Текущий Сизиф. Чтобы воспроизвести надо вернуть плагин kernel-libipsec в конфигурацию strongswan. То есть

в /etc/strongswan/strongswan.d/charon/kernel-libipsec.conf поставить "load = yes"

Comment 10 Aleksandr Shamaraev 2024-08-14 07:21:52 MSK

(Ответ для Sergei Naumov на комментарий #9)
> Нет никакого стенда. Обычный компьютер. Текущий Сизиф. Чтобы воспроизвести
> надо вернуть плагин kernel-libipsec в конфигурацию strongswan. То есть
> 
> в /etc/strongswan/strongswan.d/charon/kernel-libipsec.conf поставить "load =
> yes"

Коллега, вы тут опечатались...

"load = no"

тогда работает

Comment 11 Sergei Naumov 2024-08-15 09:53:37 MSK

Так и есть, только вопрос выше от Анастасии был как раз про то, как воспроизвести... :-)

Comment 12 Repository Robot 2024-08-21 21:46:41 MSK

strongswan-5.9.14-alt3 -> sisyphus:

 Wed Aug 21 2024 Alexey Shabalin <shaba@altlinux> 5.9.14-alt3
 - disable bypass-lan plugin in config
 - disable kernel-libipsec plugin (ALT #50684) in config
 - enable build af-alg (AF_ALG crypto interface to Linux Crypto API)
 - enable build rdrand (Intel RDRAND random generator plugin) for x86
 - enable build connmark, forecast, lookip plugins