Bug 50684 - Не устанавливается соединение после обновления до 5.9.14-alt2
Summary: Не устанавливается соединение после обновления до 5.9.14-alt2
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: strongswan (show other bugs)
Version: unstable
Hardware: x86_64 Linux
: P5 normal
Assignee: Michael Shigorin
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2024-06-19 09:22 MSK by Sergei Naumov
Modified: 2024-08-21 21:46 MSK (History)
5 users (show)

See Also:


Attachments
Лог соединения после обновления до 5.9.14-аlt2 (16.17 KB, text/plain)
2024-06-19 09:22 MSK, Sergei Naumov
no flags Details

Note You need to log in before you can comment on or make changes to this bug.
Description Sergei Naumov 2024-06-19 09:22:05 MSK
Created attachment 16292 [details]
Лог соединения после обновления до 5.9.14-аlt2

После того, как поравились скрипты (см. #50673), пакет alt2 поставился без проблем. Однако, установить соединение не удаётся (см. лог). Откатываться назад уже надо с одновременным откатом NetworkManager-strongswan... :-)
Comment 1 Aleksandr Shamaraev 2024-06-19 23:37:55 MSK
Здравствуйте, у меня такая же проблема 

Писал тут

https://bugzilla.altlinux.org/50673
Comment 2 iQQator 2024-06-24 14:56:54 MSK
Добрый день всем.
Проверил на свежей Регулярке (Gnome)

rpm -qa | grep strongswan
===
NetworkManager-strongswan-gtk-common-1.6.0-alt1.x86_64
NetworkManager-strongswan-1.6.0-alt1.x86_64
strongswan-5.9.14-alt2.x86_64
strongswan-charon-nm-5.9.14-alt2.x86_64
NetworkManager-strongswan-gtk4-1.6.0-alt1.x86_64


1) Судя по вот этому репорту https://wiki.strongswan.org/issues/2361 NM до сих пор не умеет в импорт sswan файла

2) По вот этому гайду достал сертификаты:
# Example: Extract CA certificate, client certificate and private key.
#          You may delete the .p12 file when finished.
# Note: You may need to enter the import password, which can be found
#       in the output of the IKEv2 helper script. If the output does not
#       contain an import password, press Enter to continue.
# Note: If using OpenSSL 3.x (run "openssl version" to check),
#       append "-legacy" to the 3 commands below.
openssl pkcs12 -in vpnclient.p12 -cacerts -nokeys -out ca.cer
openssl pkcs12 -in vpnclient.p12 -clcerts -nokeys -out client.cer
openssl pkcs12 -in vpnclient.p12 -nocerts -nodes  -out client.key
rm vpnclient.p12

3) По вот этому создал коннект (у меня IPSec IKEv2)

- Go to Settings -> Network -> VPN. Click the + button.
- Select IPsec/IKEv2 (strongswan).
- Enter anything you like in the Name field.
- In the Gateway (Server) section, enter Your VPN Server IP (or DNS name) for the Address.
- Select the ca.cer file for the Certificate.
- In the Client section, select Certificate(/private key) in the Authentication drop-down menu.
- Select Certificate/private key in the Certificate drop-down menu (if exists).
- Select the client.cer file for the Certificate (file).
- Select the client.key file for the Private key.
- In the Options section, check the Request an inner IP address checkbox.
- Turn the VPN switch ON.

И все работает, проверял на 2ip.ru :)
Comment 3 Aleksandr Shamaraev 2024-06-24 15:00:24 MSK
(Ответ для iQQator на комментарий #2)
> И все работает, проверял на 2ip.ru :)

Доброго времени суток.

Если у Вас есть возможность, проверьте пожалуйста еще на l2tp
У меня лично не работает, впрочем как и у многих
Comment 4 Sergei Naumov 2024-06-24 22:22:36 MSK
(In reply to Aleksandr Shamaraev from comment #3)
> (Ответ для iQQator на комментарий #2)
> > И все работает, проверял на 2ip.ru :)
> 
> Доброго времени суток.
> 
> Если у Вас есть возможность, проверьте пожалуйста еще на l2tp
> У меня лично не работает, впрочем как и у многих

Не работает на L2TP с предварительно заданным ключом, НЕ с сертификатом...
Comment 5 Aleksandr Shamaraev 2024-06-25 11:36:23 MSK
(Ответ для Sergei Naumov на комментарий #4)
> Не работает на L2TP с предварительно заданным ключом, НЕ с сертификатом...

Согласен
Я также использую Pre-shared key
Comment 6 Sergei Naumov 2024-06-27 09:50:19 MSK
Написал на форуме stringswan - говорят потому что зачем-то грузится плагин kernel-libipsec. Пока ещё не проверял у себя - позже...

https://github.com/strongswan/strongswan/discussions/2312
Comment 7 Sergei Naumov 2024-07-02 09:20:33 MSK
Проверил - работает. Нужно не загружать kernel-libipsec: в /etc/strongswan/strongswan.d/charon/kernel-libipsec.conf поставить "load = no"
Comment 8 Osmolovskaya Anastasia 2024-08-02 13:22:18 MSK
Добрый день, Sergei!

Не могли бы, пожалуйста, предоставить описание вашего стенда и примеры конфигураций для проверки воспроизведения данной ошибки?
Comment 9 Sergei Naumov 2024-08-02 22:29:55 MSK
Нет никакого стенда. Обычный компьютер. Текущий Сизиф. Чтобы воспроизвести надо вернуть плагин kernel-libipsec в конфигурацию strongswan. То есть

в /etc/strongswan/strongswan.d/charon/kernel-libipsec.conf поставить "load = yes"
Comment 10 Aleksandr Shamaraev 2024-08-14 07:21:52 MSK
(Ответ для Sergei Naumov на комментарий #9)
> Нет никакого стенда. Обычный компьютер. Текущий Сизиф. Чтобы воспроизвести
> надо вернуть плагин kernel-libipsec в конфигурацию strongswan. То есть
> 
> в /etc/strongswan/strongswan.d/charon/kernel-libipsec.conf поставить "load =
> yes"

Коллега, вы тут опечатались...

"load = no"

тогда работает
Comment 11 Sergei Naumov 2024-08-15 09:53:37 MSK
Так и есть, только вопрос выше от Анастасии был как раз про то, как воспроизвести... :-)
Comment 12 Repository Robot 2024-08-21 21:46:41 MSK
strongswan-5.9.14-alt3 -> sisyphus:

 Wed Aug 21 2024 Alexey Shabalin <shaba@altlinux> 5.9.14-alt3
 - disable bypass-lan plugin in config
 - disable kernel-libipsec plugin (ALT #50684) in config
 - enable build af-alg (AF_ALG crypto interface to Linux Crypto API)
 - enable build rdrand (Intel RDRAND random generator plugin) for x86
 - enable build connmark, forecast, lookip plugins