ikev2 eap radius не работает на встроенном клиенте android13

Обсуждение ПО и его настройки
Ответить
Oleg554555
Сообщения: 1
Зарегистрирован: 30 апр 2023, 11:10

Сгенерирован сертификат letsencrypt через стандартные средства ros 7.9.1 chr настроен ipsec ikev2 eap radius с аутентификацией через user manager. Конфиг прилагаю
 
/ip pool
add name=ikev2 ranges=10.10.10.10-10.10.10.20

/ip ipsec profile
add dh-group=ecp256,ecp384,ecp521,modp3072,modp2048 hash-algorithm=sha256 name=ikev2-profile

/ip ipsec proposal
add auth-algorithms=sha512,sha256,sha1 enc-algorithms=\
chacha20poly1305,aes-256-cbc,aes-256-ctr,aes-256-gcm,aes-192-cbc,aes-192-ctr,aes-192-gcm,3des name=ikev2-proposal \
pfs-group=modp2048

/ip ipsec peer
add exchange-mode=ike2 name=ikev2-peer passive=yes profile=ikev2-profile

/ip ipsec mode-config
add address-pool=ikev2 name=ikev2-modeConf split-include=0.0.0.0/0

/ip ipsec policy
add dst-address=0.0.0.0/0 group=ikev2-group proposal=ikev2-proposal src-address=0.0.0.0/0 template=yes

/ip ipsec identity
add auth-method=eap-radius certificate=letsencrypt-autogen_2023-05-25T18:06:34Z,lets-encrypt-r3.der generate-policy=\
port-strict mode-config=ikev2-modeConf peer=ikev2-peer policy-template-group=ikev2-group

/radius add address=127.0.0.1 secret=12345678 service=ipsec
/radius incoming set accept=yes

/user-manager profile
add name=prof1 name-for-users=user123 starts-when=first-auth
/user-manager user group
add name=eap outer-auths=eap-mschap2
/user-manager
set certificate=server-cert-ikev2.pem enabled=yes
/user-manager router
add address=127.0.0.1 coa-port=3800 name=router1
Сертификаты CA letsencrypt алгоритмом шифрования (пробовал использовать ISRG Root X1 и Let’s Encrypt R3) были добавлены на андроид, но при подкл. Выбивает сбой. При использовании стороннего ПО strongswan с сертификатом ISRG Root X1 все работает. Вывод adb logcat показывает "IkeSessionStateMachine: IKE Session fatal error in CreateIkeLocalIkeAuth" и "android.net.ipsec.ike.exceptions.AuthenticationFailedException: Unrecognized Responder Identification." со стороны маршрутизатора ошибок не в radius, ipsec debub нет (если нужно могу потом прикрепить).

Думаю ладно, попробую поднять на ubuntu vps с помощью strongswan (вдруг встроенный клиент андроида сломанный) сертификаты сгенерировал через встроенный пакет pki RSA 4096 добавил на андроид только CA сертификат и о чудо соединение поднялось. конфигурация
 
config setup
charondebug="ike 1, knl 1, cfg 0"
uniqueids=no

conn ikev2-vpn
auto=add
compress=no
type=tunnel
keyexchange=ikev2
fragmentation=yes
forceencaps=yes
dpdaction=clear
dpddelay=300s
rekey=no
left=%any
leftid=@server_domain_or_IP
leftcert=server-cert.pem
leftsendcert=always
leftsubnet=0.0.0.0/0
right=%any
rightid=%any
rightauth=eap-mschapv2
rightsourceip=10.10.10.0/24
rightdns=8.8.8.8,8.8.4.4
rightsendcert=never
eap_identity=%identity
ike=chacha20poly1305-sha512-curve25519-prfsha512,aes256gcm16-sha384-prfsha384-ecp384,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024!
esp=chacha20poly1305-sha512,aes256gcm16-ecp384,aes256-sha256,aes256-sha1,3des-sha1!
Подумал может андроиду не нравится сертификат от letsencrypt сгенерировал на убунту с помощью того же пакета сертификаты для chr добавил их, но все равно при подключении сбой. Но теперь в выводе logcat другая ошибка

Код: Выделить всё

05-25 21:14:42.034  1704 28931 I EAP     : CreatedState: Decoded message: EAP-REQUEST/Identity
05-25 21:14:42.034  1704 28931 I EAP     : IdentityState: Decoded message: EAP-REQUEST/Identity
05-25 21:14:42.035  1704 17071 I EAP     : EapAuthenticator: EapStateMachine returned EapResponse
05-25 21:14:42.095  1704 28931 E EAP     : EapMessage: Decoding EAP packet with unsupported EAP-Type: 25
05-25 21:14:42.095  1704 17071 I EAP     : EapAuthenticator: EapStateMachine returned EapResponse
05-25 21:14:42.153  1704 28931 I EAP     : IdentityState: Decoded message: EAP-REQUEST/EAP-TTLS
05-25 21:14:42.154  1704 28931 I EAP     : MethodState: Decoded message: EAP-REQUEST/EAP-TTLS
05-25 21:14:42.154  1704 28931 E EAP     : MethodState: No configs provided for method: EAP-TTLS
05-25 21:14:42.154  1704 17071 I EAP     : EapAuthenticator: EapStateMachine returned EapResponse
05-25 21:14:43.213  1704 28931 I EAP     : MethodState: Decoded message: EAP-FAILURE
05-25 21:14:43.214  1704 17071 I EAP     : EapAuthenticator: EapStateMachine returned EapFailure


По какой то причине клиент хочет использовать EAP-TTLS, хотя в user manager выбраны все типы шифрования, также пробовал выбирать только eap mschapv2 без результатов.

Кто подскажет в чем может быть причина. Может у кого то ikev2 server на микротике работает с клиентом андроид 13 ?


Ответить