Несколько лет тому назад установил и настроил StrongSWAN, для попадания в свой маленький дата-центрик. Настроил под Windows 7. Но с Windows 8.1 и с тем же сертификатом пойти на VPN не получилось - восьмерка не предлагает сертификат к авторизации, поскольку в нем действительно нет опции clientAuth. Как оно работало на 7-ке - уже и не упомню, но точно работало.
Решил обновить всё - версию StrongSwan, сертификаты и сам линукс тоже, чтобы освежить в памяти мутные процедуры, связанные с выпиской сертификатов. Обновился до StrongSwan 5.3.3, сгенерил ключи и сертификаты, после некоторых разборок - установил соединение с Windows 8.1. Однако получилось установить соединение только при фиксированном адресе клиента, т.е. винды - если указать в конфигурации "лебедя"
Покопался в гугле, нашел вот такую страничку. Проверил tcpdump-ом, действительно, "bad udp cksum". Таргет у iptables не был собран, пришлось дособрать. После добавления приведенного на страничке правила VPN чудесным образом заработал без дополнительных настроек на стороне клиента - всякие там роутинги/маскарадинги не надо конфигурить.
Вестимо, чтобы сия прелесть вообще могла работать, надо собрать strongswan с опциями --enable-dhcp --enable-farp.
Решил обновить всё - версию StrongSwan, сертификаты и сам линукс тоже, чтобы освежить в памяти мутные процедуры, связанные с выпиской сертификатов. Обновился до StrongSwan 5.3.3, сгенерил ключи и сертификаты, после некоторых разборок - установил соединение с Windows 8.1. Однако получилось установить соединение только при фиксированном адресе клиента, т.е. винды - если указать в конфигурации "лебедя"
rightsourceip=%dhcpклиентская винда не получает IP. В логах charon имеем следующее:
... Sep 25 01:52:11 securegw charon: 14[CFG] sending DHCP DISCOVER to 255.255.255.255 Sep 25 01:52:12 securegw charon: 09[MGR] ignoring request with ID 5, already processing ...DHCP-сервер в логах ничего не пишет...
Покопался в гугле, нашел вот такую страничку. Проверил tcpdump-ом, действительно, "bad udp cksum". Таргет у iptables не был собран, пришлось дособрать. После добавления приведенного на страничке правила VPN чудесным образом заработал без дополнительных настроек на стороне клиента - всякие там роутинги/маскарадинги не надо конфигурить.
Вестимо, чтобы сия прелесть вообще могла работать, надо собрать strongswan с опциями --enable-dhcp --enable-farp.
Комментариев нет:
Отправить комментарий