strongSwan IKEv2 + Windows 7 Agile VPN: O que está causando o Erro 13801

8

Eu tenho uma instância da AWS que desejo ser um servidor VPN. Ele conectará os clientes Windows 7 a uma rede privada na nuvem da Amazon.

  • Eu instalei o Ubuntu 12.04 e o strongswan-ikev2pacote.
  • ipsec version relatórios Linux strongSwan U4.5.2/K3.2.0-52-virtual
  • Observe que o cliente e o servidor estão atrás do NAT (o cliente porque está em uma rede local do escritório e o servidor porque está na nuvem da Amazon). Eu desbloquei as portas UDP 500 e 4500 no painel da Amazon e no firewall do cliente.

  • Este é o /etc/ipsec.conf: 

    config setup
    plutostart=no

conn %default
    keyexchange=ikev2
    ike=aes256-sha1-modp1024!
    esp=aes256-sha1!
    dpdaction=clear
    dpddelay=300s
    rekey=no

conn win7vpn
    left=%any
    leftsubnet=<amazon VPC CIDR block>
    leftauth=pubkey
    leftcert=openssl-cert.pem
    leftid=<vpn server public dns name>
    right=%any
    rightsourceip=<amazon private IP address, which elastic ip is forwarded to>
    rightauth=eap-mschapv2
    rightsendcert=never
    eap_identity=%any
    auto=add

  • Este é o /etc/ipsec.secrets: 

    : RSA openssl-key.rsa
TESTDOMAIN\testuser : EAP "testpassword"

  • Adicionei o certificado da CA que assinou o certificado de host do servidor ao armazenamento de certificados da máquina local (não do usuário) para que o Windows possa autenticar o servidor.

Em seguida, tento conectar-me ao servidor usando o cliente Windows 7, conforme prescrito aqui , com uma exceção - estou usando o nome DNS em vez do endereço IP. Eu insiro o nome de usuário, domínio e senha no meu arquivo ipsec.secrets e ele tenta se conectar.

Quando isso acontece, recebo logs fortes doSwan que se parecem com isso. Eu pensei nisso um pouco, tanto por censura quanto por clareza; CLIENTPUB / CLIENTPRIV são os endereços IP públicos e privados do cliente e AMAZONPRIV é o endereço IP privado do servidor (que é o que o IP público do servidor - a Amazon chama de "IP Elástico" - encaminha).

Sep  4 00:16:17 localhost charon: 14[IKE] CLIENTPUB is initiating an IKE_SA
Sep  4 00:16:17 localhost charon: 14[NET] received packet: from CLIENTPUB[500] to AMAZONPRIV[500]
Sep  4 00:16:17 localhost charon: 14[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
Sep  4 00:16:17 localhost charon: 14[IKE] CLIENTPUB is initiating an IKE_SA
Sep  4 00:16:17 localhost charon: 14[IKE] local host is behind NAT, sending keep alives
Sep  4 00:16:17 localhost charon: 14[IKE] remote host is behind NAT
Sep  4 00:16:17 localhost charon: 14[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(MULT_AUTH) ]
Sep  4 00:16:17 localhost charon: 14[NET] sending packet: from AMAZONPRIV[500] to CLIENTPUB[500]
Sep  4 00:16:17 localhost charon: 15[NET] received packet: from CLIENTPUB[4500] to AMAZONPRIV[4500]
Sep  4 00:16:17 localhost charon: 15[ENC] unknown attribute type INTERNAL_IP4_SERVER
Sep  4 00:16:17 localhost charon: 15[ENC] parsed IKE_AUTH request 1 [ IDi CERTREQ N(MOBIKE_SUP) CP(ADDR DNS NBNS SRV) SA TSi TSr ]
Sep  4 00:16:17 localhost charon: 15[IKE] received cert request for "C=US, ST=TX, O=Test CA, CN=Test CA"
Sep  4 00:16:17 localhost charon: 15[IKE] received 316 cert requests for an unknown ca
Sep  4 00:16:17 localhost charon: 15[CFG] looking for peer configs matching AMAZONPRIV[%any]...CLIENTPUB[CLIENTPRIV]
Sep  4 00:16:17 localhost charon: 15[CFG] selected peer config 'dlpvpn'
Sep  4 00:16:17 localhost charon: 15[IKE] initiating EAP-Identity request
Sep  4 00:16:17 localhost charon: 15[IKE] peer supports MOBIKE
Sep  4 00:16:17 localhost charon: 15[IKE] authentication of 'C=US, ST=TX, O=DLP Test CA, CN=vpn.example.com' (myself) with RSA signature successful
Sep  4 00:16:17 localhost charon: 15[IKE] sending end entity cert "C=US, ST=TX, O=DLP Test CA, CN=vpn.example.com"
Sep  4 00:16:17 localhost charon: 15[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
Sep  4 00:16:17 localhost charon: 15[NET] sending packet: from AMAZONPRIV[4500] to CLIENTPUB[4500]

Neste ponto, o Windows exibe uma mensagem de erro imediatamente: 

Verifying user name and password...
Error 13801: IKE authentication credentials are unacceptable

Após alguns segundos, charon tenta novamente e fecha a conexão. 

Sep  4 00:16:37 localhost charon: 16[IKE] sending keep alive
Sep  4 00:16:37 localhost charon: 16[NET] sending packet: from AMAZONPRIV[4500] to CLIENTPUB[4500]
Sep  4 00:16:47 localhost charon: 03[JOB] deleting half open IKE_SA after timeout

E é isso.

Pelo que sei, estou seguindo todas as instruções no wiki do strongSwan.

O que eu estou fazendo errado aqui?

Edit: este é definitivamente um problema com certificados. Desabilitei as verificações de validação estendidas editando o registro e reiniciando conforme descrito em MSKB926182 (lol, se você quisesse um link para isso) e agora posso conectar-me ao meu servidor VPN sem erros. Vou descobrir como gerar certificados que atendem aos requisitos e adicionar uma resposta. Obrigado a @ecdsa pelo ponteiro para a página de certificado no wiki do strongSwan que me levou a apontar na direção certa.

windows-7  vpn  ipsec  strongswan 
Micah R Ledbetter
fonte
Como é a guia de segurança das propriedades da VPN no cliente Windows 7? Além disso, embora minha configuração não seja idêntica, tenho o IKEv2 trabalhando com os certificados no armazenamento de certificados do Usuário Atual.
0xFE
O certificado do servidor atende a todos os requisitos ?
ecdsa
Se você resolveu seu próprio problema, considere postar uma resposta abaixo e marcá-la como resolvida.
Michael Hampton

Respostas:

6

Descobri isso. A @ecdsa me indicou a direção certa e finalmente consegui resolver o problema seguindo este guia .

ipsec pki --gen --type rsa --size 4096 --outform pem > vpnca.key.pem
ipsec pki --self --flag serverAuth --in vpnca.key.pem --type rsa --digest sha1 \
    --dn "C=US, O=Example Company, CN=Example VPN CA" --ca > vpnca.crt.der
ipsec pki --gen --type rsa --size 4096 --outform pem > vpn.example.com.key.pem
ipsec pki --pub --in vpn.example.com.key.pem --type rsa > vpn.example.com.csr
ipsec pki --issue --cacert vpnca.crt.der --cakey vpnca.key.pem --digest sha1 \
    --dn "C=US, O=Example Company, CN=vpn.example.com" \
    --san "vpn.example.com" --flag serverAuth --outform pem \
    < vpn.example.com.csr > vpn.example.com.crt.pem 
openssl rsa -in vpn.example.com.key.pem -out vpn.example.com.key.der -outform DER

cp vpnca.crt.der /etc/ipsec.d/cacerts
cp vpn.example.com.crt.pem /etc/ipsec.d/certs
cp vpn.example.com.key.der /etc/ipsec.d/private

Sobre o erro

A mensagem de erro era "Erro 13801: credenciais de autenticação IKE são inaceitáveis", que pareciam que minhas credenciais de usuário não estavam funcionando. No entanto, esta é uma mensagem sobre a autenticação do servidor , que é feita (de acordo com minha configuração) pelo certificado SSL do servidor. A Microsoft publicou documentação sobre solução de problemas de conexões VPN IKEv2 que lista as possíveis causas para esse erro:

  • O certificado expirou.
  • A raiz confiável do certificado não está presente no cliente.
  • O nome do assunto do certificado não corresponde ao computador remoto.
  • O certificado não possui os valores exigidos de Uso Avançado de Chave (EKU) atribuídos.

No meu caso, meu problema tinha a ver com os valores de EKU. Seguindo o guia que vinculei na parte superior, consegui gerar um certificado com os valores corretos da EKU, e funcionou muito bem.

Para solucionar isso, você pode desativar a verificação EKU no seu cliente Windows (é claro, isso só deve ser feito para testes):

  • Lançamento regedit
  • Navegar para HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\Parameters
  • Adicione um DWORD chamado DisableIKENameEkuChecke defina seu valor como1
  • A documentação da Microsoft instrui você a reiniciar depois de fazer isso, mas não era necessário para que isso tivesse efeito.
Micah R Ledbetter
fonte
Outra causa possível: o IP é usado no cert, mas o nome do host é usado no cliente.
Larsen
ou o nome do host está no certificado, mas o cliente se conecta ao seu endereço IP. Solução:ipsec pki --isue ... --san @ipaddress
bouke
Depois de seguir estas etapas, meu problema foi que a raiz confiável foi instalada no local errado, ela deveria estar em "Computador \ Autoridades de Certificação Raiz Confiáveis" e não em "Usuário Atual \ TRCA".
Bouke
2

Eu tive um problema idêntico e o resolvi, garantindo que eu tivesse a cadeia de certificados no arquivo de certificado (certificado da entidade final, CA intermediária, CA raiz - nessa ordem). TLS é divertido.

Após reiniciar o strongSwan, isso parou de funcionar, mas começou a funcionar novamente quando eu soltei a CA intermediária e raiz /etc/ipsec.d/cacerts.

Zanchey
fonte
0

Após uma longa pesquisa, esse segmento fez com que minha configuração do Windows Phone 10 (WP10) funcionasse com o IKEv2! Uma coisa a mencionar pode ser que você precise. / Configurar seu Strongswan com --enable-eap-identity --enable-eap-mschapv2 --enable-openssl (e provavelmente --enable-dhcp) para ter os plugins necessários. E sim, você precisa acertar as certezas (no lado do servidor - o cliente precisa conhecer apenas a CA raiz do servidor).

Martin
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.