O cliente Windows não pode se conectar ao StrongSwan: “Solicitação de EAP-Identity configurada, mas não suportada”

2

Eu segui este tutorial para configurar um servidor VPN StrongSwan, com as exceções que eu estava usando o Debian 9, e que eu usei certs que eu já tinha do Let's Encrypt em vez de levantar um CA . No entanto, ainda não consigo me conectar ao servidor VPN. Quando tento usar o cliente VPN interno do Windows 10, aparece um erro que

The network connection between your computer could not be established because the remote server is not responding. This could be because one of the network devices (e.g, firewalls, NAT, routers, etc) between your computer and the remote server is not configured to allow VPN connections. Please contact your Administrator or your service provider to determine which devices may be causing the problem.

Eu tentei conectar meu computador diretamente ao servidor sem qualquer dispositivo interveniente, e pude fazê-lo com êxito, mas ainda não consegui conectar-me à VPN. Além disso, ufw está definido para permitir as portas necessárias, 500 e 4500, e nmap -sU -p 500 [VPN server IP] confirmou que as portas estavam abertas para pacotes UDP.

Definindo o nível de registro como máximo, não reconheci nenhum erro ou aviso, exceto algumas linhas que disseram

Aug 13 17:28:16 vpn ipsec[2733]: 14[IKE] EAP-Identity request configured, but not supported Aug 13 17:28:16 vpn ipsec[2733]: 14[IKE] loading EAP_MSCHAPV2 method failed

Eu não consigo descobrir qual pode ser o problema, então acho que isso deve estar relacionado a essas linhas. O que posso fazer para corrigir isso?

    
por dddddddd207 13.08.2018 / 23:38

3 respostas

1

Aparentemente, o pacote Debian não inclui os plugins necessários para o cliente Windows 10. Eu tive que desinstalar o pacote, então baixe e compile o StrongSwan eu mesmo. Desinstalar o pacote deixou alguns arquivos para trás. Eu tive que remover /usr/lib/ipsec/ e recompilar porque a nova instalação foi segfaulting acessando arquivos da instalação antiga que estavam localizados lá. No entanto, os outros arquivos que foram deixados para trás (particularmente em / etc) parecem funcionar, ou pelo menos não causam problemas.

Ao compilar o StrongSwan, usei o comando ./configure --prefix=/usr --sysconfdir=/etc --enable-eap-identity --enable-eap-mschapv2 --enable-md4

Além disso, de acordo com este Windows tenta usar o Diffie de 1024 bits -Hellman group por padrão, e você pode obter StrongSwan para oferecer o grupo DH de 1024 bits, ou você pode definir uma chave de registro no Windows para aceitar o grupo DH 2048. Eu não consegui encontrar documentação para o primeiro, então fui com o último.

Finalmente, o certificado Let's Encrypt funcionou. Para usá-lo, coloque seu certificado ativo.pem em /etc/ipsec.d/certs/ e seu active chain.pem em /etc/ipsec.d/cacerts/ .

    
por 15.08.2018 / 22:09
1

O suporte a EAP-Identity é fornecido pelo eap-identity plugin; para EAP-MSCHAPv2 você precisa do plugin eap-mschapv2 .

No Debian, ambos são fornecidos pelo pacote libcharon-extra-plugins .

$ apt-file search eap-identity
libcharon-extra-plugins: /usr/lib/ipsec/plugins/libstrongswan-eap-identity.so
    
por 16.08.2018 / 02:13
0

Aug 13 17:28:16 vpn ipsec[2733]: 14[IKE] EAP-Identity request configured, but not supported Aug 13 17:28:16 vpn ipsec[2733]: 14[IKE] loading EAP_MSCHAPV2 method failed

A primeira linha é devido a falta de eap-identity plugin como respondido por gravidade . A segunda linha é devido a falta do plugin'eap-mschapv2 '. Este plugin requer o gcrypt plugin para funcionar. Este último pode ser encontrado em libstrongswan-extra-plugins .

Então você precisa:

apt install libcharon-extra-plugins libstrongswan-extra-plugins
    
por 23.10.2018 / 22:27

Tags