Adrian's questions

Seguiu este tutorial: Criar um servidor IKEv2

Consulte a documentação para esse tutorial: Guia: Como configurar e usar a VPN IKEv2
No Win 10, do powershell (Admin), executei:

certutil -f -importpfx "C:\Users\Adrian\Downloads\vpnclient.p12" NoExport
powershell -command "Set-VpnConnectionIPsecConfiguration -ConnectionName 'My IKEv2 VPN' -AuthenticationTransformConstants GCMAES128 -CipherTransformConstants GCMAES128 -EncryptionMethod AES256 -IntegrityCheckMethod SHA256 -PfsGroup None -DHGroup Group14 -PassThru -Force"

Consegui isso no Win10 usando a conexão VPN integrada:

A conexão de rede entre seu computador e o servidor VPN não pôde ser estabelecida porque o servidor remoto não está respondendo. Isso pode ocorrer porque um dos dispositivos de rede (por exemplo, firewalls, NAT, roteadores etc.) entre seu computador e o servidor remoto não está configurado para permitir conexões VPN. Entre em contato com seu administrador ou provedor de serviços para determinar quais dispositivos podem estar causando o problema.

Corri tail -f /var/log/auth.loge tentei conectar. Nada foi escrito no log. Talvez nada seja escrito no auth.log? Devo verificar outro log?

cat /etc/ipsec.conf

version 2.0

config setup
  virtual-private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:!192.168.42.0/24,%v4:!192.168.43.0/24
  uniqueids=no

conn shared
  left=%defaultroute
  leftid=34.138.177.212
  right=%any
  encapsulation=yes
  authby=secret
  pfs=no
  rekey=no
  keyingtries=5
  dpddelay=30
  dpdtimeout=120
  dpdaction=clear
  ikev2=never
  ike=aes256-sha2,aes128-sha2,aes256-sha1,aes128-sha1,aes256-sha2;modp1024,aes128-sha1;modp1024
  phase2alg=aes_gcm-null,aes128-sha1,aes256-sha1,aes256-sha2_512,aes128-sha2,aes256-sha2
  ikelifetime=24h
  salifetime=24h
  sha2-truncbug=no

conn l2tp-psk
  auto=add
  leftprotoport=17/1701
  rightprotoport=17/%any
  type=transport
  also=shared

conn xauth-psk
  auto=add
  leftsubnet=0.0.0.0/0
  rightaddresspool=192.168.43.10-192.168.43.250
  modecfgdns="8.8.8.8 8.8.4.4"
  leftxauthserver=yes
  rightxauthclient=yes
  leftmodecfgserver=yes
  rightmodecfgclient=yes
  modecfgpull=yes
  cisco-unity=yes
  also=shared

include /etc/ipsec.d/*.conf

Já revisado:
Como configurar um servidor VPN IKEv2 com StrongSwan no Ubuntu 20.04 <-- muito útil
ikev2 vpn não pode se conectar ao próprio servidor via conexão vpn win10
VPN Conexão IKev2 O
cliente Windows não pode se conectar ao StrongSwan: "Pedido de identidade EAP configurado, mas não suportado"

Atualização 1:
acho que tem algo a ver com endereços IP.

root@ikev2vpn:~# service ipsec status
● ipsec.service - Internet Key Exchange (IKE) Protocol Daemon for IPsec
     Loaded: loaded (/lib/systemd/system/ipsec.service; enabled; vendor preset: enabled)
     Active: active (running) since Sat 2022-04-23 16:01:48 UTC; 3h 17min ago
       Docs: man:ipsec(8)
             man:pluto(8)
             man:ipsec.conf(5)
    Process: 1244 ExecStartPre=/usr/local/libexec/ipsec/addconn --config /etc/ipsec.conf --checkconfig (code=exit
    Process: 1245 ExecStartPre=/usr/local/libexec/ipsec/_stackmanager start (code=exited, status=0/SUCCESS)
    Process: 1490 ExecStartPre=/usr/local/sbin/ipsec --checknss (code=exited, status=0/SUCCESS)
    Process: 1491 ExecStartPre=/usr/local/sbin/ipsec --checknflog (code=exited, status=0/SUCCESS)
   Main PID: 1502 (pluto)
     Status: "Startup completed."
      Tasks: 2 (limit: 666)
     Memory: 4.5M
        CPU: 359ms
     CGroup: /system.slice/ipsec.service
             └─1502 /usr/local/libexec/ipsec/pluto --leak-detective --config /etc/ipsec.conf --nofork

Apr 23 16:01:48 ikev2vpn pluto[1502]: "ikev2-cp": added IKEv2 connection
Apr 23 16:01:48 ikev2vpn pluto[1502]: listening for IKE messages
Apr 23 16:01:48 ikev2vpn pluto[1502]: Kernel supports NIC esp-hw-offload
Apr 23 16:01:48 ikev2vpn pluto[1502]: adding UDP interface ens4 10.142.0.3:500
Apr 23 16:01:48 ikev2vpn pluto[1502]: adding UDP interface ens4 10.142.0.3:4500
Apr 23 16:01:48 ikev2vpn pluto[1502]: adding UDP interface lo 127.0.0.1:500
Apr 23 16:01:48 ikev2vpn pluto[1502]: adding UDP interface lo 127.0.0.1:4500

Não sei de onde vêm esses endereços de interface. Eu teria esperado o endereço público do servidor: 500 ou :4500 (so 34.138.177.212:500ou 34.138.177.212:4500).

ATUALIZAÇÃO #2: Criei um novo servidor para experimentar do zero com o guia do oceano digital. Ainda não conseguiu conectar. Agora tenho certeza que tem a ver com isso:

vusr@vpn2:~$ ip route show default
default via 10.142.0.1 dev ens4 proto dhcp src 10.142.0.4 metric 100

De acordo com a documentação 10.142.0.1é o ip do meu servidor, o que obviamente não está correto. 34.139.167.68é o ip externo do novo servidor. Eu usei o IP externo como leftid=34.139.167.68e ao construir a VPN no win10

Add-VpnConnection -Name "VPN2" -ServerAddress "34.139.167.68" -TunnelType "IKEv2" -AuthenticationMethod "EAP" -EncryptionLevel "Maximum" -RememberCredential

Isso é incorreto?

Atualização 3

Agora estou testando para descobrir qual IP devo usar, pois diferentes tutoriais dizem coisas diferentes.

aw@ipsec-ikev2:~$ ip route show default
default via 138.197.160.1 dev eth0 proto static
aw@ipsec-ikev2:~$ dig @resolver1.opendns.com -t A -4 myip.opendns.com +short
138.197.172.52

Preciso usar 138.197.172.52como nome/ip do servidor ao adicionar uma conexão VPN ao Win10. Mas qual é o meu leftid e CN (para cert)? Testando agora.

Criei meu primeiro servidor público - um servidor SFTP hospedado no google cloud. Eu estava verificando o log de autenticação durante o 2º dia de teste e notei que estou recebendo de 4 a 10 acessos de pessoas aleatórias a cada minuto! 3700 solicitações com falha em 16 horas - isso parece ridículo, então eu quero saber se existe alguma maneira de pará-las. Eu tenho quase zero experiência com firewalls - eu esperava evitar o padrão para rejeitar todos e permitir apenas IPs na lista de permissões, mas talvez eu tenha que considerar isso.

Apr  4 13:34:05 nfp sshd[12034]: Failed password for invalid user tjkim from 134.122.9.249 port 48930 ssh2
Apr  4 13:34:13 nfp sshd[12107]: Failed password for invalid user barman from 198.58.119.132 port 39626 ssh2
Apr  4 13:34:16 nfp sshd[12119]: Failed password for invalid user rscreen from 203.205.37.233 port 33740 ssh2
Apr  4 13:34:16 nfp sshd[12121]: Failed password for invalid user oakda from 164.90.194.36 port 41566 ssh2
Apr  4 13:34:18 nfp sshd[12123]: Failed password for invalid user lia from 43.130.60.190 port 46610 ssh2
Apr  4 13:34:20 nfp sshd[12125]: Failed password for invalid user hongphong from 193.106.60.145 port 33020 ssh2
Apr  4 13:34:23 nfp sshd[12127]: Failed password for invalid user uucpsh from 157.245.101.31 port 59112 ssh2
Apr  4 13:34:27 nfp sshd[12129]: Failed password for invalid user legaltech from 43.154.249.125 port 33970 ssh2
Apr  4 13:34:51 nfp sshd[12132]: Failed password for invalid user dhamu from 164.90.198.71 port 36212 ssh2
Apr  4 13:34:57 nfp sshd[12134]: Failed password for invalid user onapp from 115.182.105.68 port 46286 ssh2

Alguma orientação para um novato?

Eu tenho extensões Stylus e User Javascript e CSS no Chrome. Um contêiner Iframe que reestilizei não obedece mais ao estilo que permaneceu inalterado em ambas as extensões. Ele funcionou por vários anos e o CSS do site permaneceu inalterado. Nenhuma extensão o aplica mais ao site. Faz alguns meses que não uso, então não sei o que quebrou. Uma atualização do Chrome??

Alguém já teve um problema semelhante ou sabe como obter os estilos para aplicar?

Por exemplo, estou apenas alterando o tamanho da fonte para torná-lo não microscópico.