Давайте не будем про «кавказское долголетие», возьмём пример понейтральнее. Вот Греция — в 2011 её жёстко накрыл кризис, и греки стали вынуждены считать гос. деньги. Какая-то светлая голова в греческом «пенсионном фонде» («IKA») вдруг сказала «а чего это у нас дофига граждан по сто двадцать лет? А давайте их навестим?»
В результате в стране с 11 миллионами человек было выявлено сто двадцать тысяч случаев, когда бабушку/дедушку тихо похоронили, а вот пенсию за них продолжили получать. Самый дикий случай — это 130-летний пенсионер, который фактически умер 30 лет назад.
Если какой-то из американских президентов вдруг задумает заменить переписи «централизованной электронной базой», то ему, боюсь, скоро-скоро напомнят про «it is the Right of the People to alter or to abolish it, and to institute new Government»
Когда я попенял на это тех.директору московского МегаФона, он мне ответил (дело было в конце января): «Про метро — сети операторов не расширялись с 2011 года. И только сейчас новое руководство Метрополитена дало доступ. Поэтому процесс пошел, модернизация метро будет идти весь 2015 г.»
WiFi есть только в туннелях, на станциях вагонным точкам доступа подключиться не к чему и подсоединённые к ним смартфоны пассажиров начинают переключаться на 2G/3G. Полагаю, что в этот момент сеть мобильного оператора просто не выдерживает вала сигнального трафика. Когда поезд уходит в туннель, на платформе 3G недолгое время «летает»
Если вы в дополнении к статье расскажете про установку рекурсивного DNS, с конфигурацией, блокирующей обращения к доменам Google Analytics и Яндекс.Метрики, будет просто замечательно.
Замена rightdns на Google DNS и использование второй команды решило проблему. VPN поднимается, whatismyip.com открывается и радостно сообщает, что я в Портленде. Спасибо за терпение!
Теперь получилось [в варианте с %identity], спасибо. Но NAT победить так и не удалось, у меня есть ощущение, что приведённая вами команда игнорируется — когда я набираю iptables -L, я не вижу, чтобы что-то добавилось.
К сожалению, Windows Phone отвечает до боли знакомым «Attention required» при попытке поднять соединение:
Скрытый текст
root@ip-172-31-28-135:/etc/ipsec.d/private# ipsec start --nofork
Starting strongSwan 5.1.2 IPsec [starter]...
00[DMN] Starting IKE charon daemon (strongSwan 5.1.2, Linux 3.13.0-44-generic, x86_64)
00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'
00[CFG] loaded ca certificate "CN=IPSec CA" from '/etc/ipsec.d/cacerts/ca.crt'
00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'
00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'
00[CFG] loading crls from '/etc/ipsec.d/crls'
00[CFG] loading secrets from '/etc/ipsec.secrets'
00[CFG] expanding file expression '/var/lib/strongswan/ipsec.secrets.inc' failed
00[CFG] loaded RSA private key from '/etc/ipsec.d/private/aws.bougakov.com.key'
00[LIB] loaded plugins: charon test-vectors aes rc2 sha1 sha2 md4 md5 rdrand random nonce x509 revocation constraints pkcs1 pkcs7 pkcs8 pkcs12 pem openssl xcbc cmac hmac ctr ccm gcm attr kernel-netlink resolve socket-default stroke updown eap-identity eap-mschapv2 addrblock
00[LIB] unable to load 5 plugin features (5 due to unmet dependencies)
00[LIB] dropped capabilities, running as uid 0, gid 0
00[JOB] spawning 16 worker threads
charon (2462) started after 20 ms
11[CFG] received stroke: add connection 'ikev2-pubkey'
11[CFG] left nor right host is our side, assuming left=local
11[CFG] adding virtual IP address pool 192.168.103.0/24
11[CFG] adding virtual IP address pool 2002:25f7:7489:3::/112
11[CFG] loaded certificate "CN=aws.bougakov.com" from 'aws.bougakov.com.crt'
11[CFG] id '%any' not confirmed by certificate, defaulting to 'CN=aws.bougakov.com'
11[CFG] added configuration 'ikev2-pubkey'
13[CFG] received stroke: add connection 'ikev1-fakexauth'
13[CFG] left nor right host is our side, assuming left=local
13[CFG] reusing virtual IP address pool 192.168.103.0/24
13[CFG] reusing virtual IP address pool 2002:25f7:7489:3::/112
13[CFG] loaded certificate "CN=aws.bougakov.com" from 'aws.bougakov.com.crt'
13[CFG] id '%any' not confirmed by certificate, defaulting to 'CN=aws.bougakov.com'
13[CFG] added configuration 'ikev1-fakexauth'
15[CFG] received stroke: add connection 'ikev2-eap-tls'
15[CFG] left nor right host is our side, assuming left=local
15[CFG] reusing virtual IP address pool 192.168.103.0/24
15[CFG] reusing virtual IP address pool 2002:25f7:7489:3::/112
15[CFG] loaded certificate "CN=aws.bougakov.com" from 'aws.bougakov.com.crt'
15[CFG] id '%any' not confirmed by certificate, defaulting to 'CN=aws.bougakov.com'
15[CFG] added configuration 'ikev2-eap-tls'
06[NET] received packet: from 5.228.173.181[500] to 172.31.28.135[500] (616 bytes)
06[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) V V V V ]
06[ENC] received unknown vendor ID: 1e:2b:51:69:05:99:1c:7d:7c:96:fc:bf:b5:87:e4:61:00:00:00:09
06[ENC] received unknown vendor ID: fb:1d:e3:cd:f3:41:b7:ea:16:b7:e5:be:08:55:f1:20
06[ENC] received unknown vendor ID: 26:24:4d:38:ed:db:61:b3:17:2a:36:e3:d0:cf:b8:19
06[ENC] received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:02
06[IKE] 5.228.173.181 is initiating an IKE_SA
06[IKE] local host is behind NAT, sending keep alives
06[IKE] remote host is behind NAT
06[IKE] sending cert request for "CN=IPSec CA"
06[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(MULT_AUTH) ]
06[NET] sending packet: from 172.31.28.135[500] to 5.228.173.181[500] (337 bytes)
05[NET] received packet: from 5.228.173.181[4500] to 172.31.28.135[4500] (1116 bytes)
05[ENC] parsed IKE_AUTH request 1 [ IDi CERTREQ N(MOBIKE_SUP) CPRQ(ADDR DNS NBNS SRV ADDR6 DNS6 SRV6) SA TSi TSr ]
05[IKE] received cert request for "CN=IPSec CA"
05[IKE] received 38 cert requests for an unknown ca
05[CFG] looking for peer configs matching 172.31.28.135[%any]...5.228.173.181[192.168.10.6]
05[CFG] selected peer config 'ikev2-pubkey'
05[IKE] peer requested EAP, config inacceptable
05[CFG] switching to peer config 'ikev2-eap-tls'
05[IKE] loading EAP_TLS method failed
05[IKE] peer supports MOBIKE
05[ENC] generating IKE_AUTH response 1 [ IDr EAP/FAIL ]
05[NET] sending packet: from 172.31.28.135[4500] to 5.228.173.181[4500] (108 bytes)
02[NET] received packet: from 195.16.111.170[24006] to 172.31.28.135[500] (616 bytes)
02[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) V V V V ]
02[ENC] received unknown vendor ID: 1e:2b:51:69:05:99:1c:7d:7c:96:fc:bf:b5:87:e4:61:00:00:00:09
02[ENC] received unknown vendor ID: fb:1d:e3:cd:f3:41:b7:ea:16:b7:e5:be:08:55:f1:20
02[ENC] received unknown vendor ID: 26:24:4d:38:ed:db:61:b3:17:2a:36:e3:d0:cf:b8:19
02[ENC] received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:02
02[IKE] 195.16.111.170 is initiating an IKE_SA
02[IKE] local host is behind NAT, sending keep alives
02[IKE] remote host is behind NAT
02[IKE] sending cert request for "CN=IPSec CA"
02[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(MULT_AUTH) ]
02[NET] sending packet: from 172.31.28.135[500] to 195.16.111.170[24006] (337 bytes)
01[NET] received packet: from 195.16.111.170[24006] to 172.31.28.135[500] (616 bytes)
01[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) V V V V ]
01[IKE] received retransmit of request with ID 0, retransmitting response
01[NET] sending packet: from 172.31.28.135[500] to 195.16.111.170[24006] (337 bytes)
12[NET] received packet: from 195.16.111.170[24006] to 172.31.28.135[500] (616 bytes)
12[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) V V V V ]
12[IKE] received retransmit of request with ID 0, retransmitting response
12[NET] sending packet: from 172.31.28.135[500] to 195.16.111.170[24006] (337 bytes)
VPN-соединение в десктопной Windows устанавливается, выдаётся IP-адрес 192.168.103.1, но интернет при этом становится недоступным.
Скрытый текст
root@ip-172-31-28-135:/home/ubuntu/easy-rsa-ipsec/easyrsa3# ipsec start --nofork
Starting strongSwan 5.1.2 IPsec [starter]...
00[DMN] Starting IKE charon daemon (strongSwan 5.1.2, Linux 3.13.0-44-generic, x86_64)
00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'
00[CFG] loaded ca certificate "CN=IPSec CA" from '/etc/ipsec.d/cacerts/ca.crt'
00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'
00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'
00[CFG] loading crls from '/etc/ipsec.d/crls'
00[CFG] loading secrets from '/etc/ipsec.secrets'
00[CFG] expanding file expression '/var/lib/strongswan/ipsec.secrets.inc' failed
00[CFG] loaded RSA private key from '/etc/ipsec.d/private/aws.bougakov.com.key'
00[LIB] loaded plugins: charon test-vectors aes rc2 sha1 sha2 md4 md5 rdrand random nonce x509 revocation constraints pkcs1 pkcs7 pkcs8 pkcs12 pem openssl xcbc cmac hmac ctr ccm gcm attr kernel-netlink resolve socket-default stroke updown eap-identity eap-mschapv2 addrblock
00[LIB] unable to load 5 plugin features (5 due to unmet dependencies)
00[LIB] dropped capabilities, running as uid 0, gid 0
00[JOB] spawning 16 worker threads
charon (2514) started after 20 ms
11[CFG] received stroke: add connection 'ikev2-pubkey'
11[CFG] left nor right host is our side, assuming left=local
11[CFG] adding virtual IP address pool 192.168.103.0/24
11[CFG] adding virtual IP address pool 2002:25f7:7489:3::/112
11[CFG] loaded certificate "CN=aws.bougakov.com" from 'aws.bougakov.com.crt'
11[CFG] id '%any' not confirmed by certificate, defaulting to 'CN=aws.bougakov.com'
11[CFG] added configuration 'ikev2-pubkey'
13[CFG] received stroke: add connection 'ikev1-fakexauth'
13[CFG] left nor right host is our side, assuming left=local
13[CFG] reusing virtual IP address pool 192.168.103.0/24
13[CFG] reusing virtual IP address pool 2002:25f7:7489:3::/112
13[CFG] loaded certificate "CN=aws.bougakov.com" from 'aws.bougakov.com.crt'
13[CFG] id '%any' not confirmed by certificate, defaulting to 'CN=aws.bougakov.com'
13[CFG] added configuration 'ikev1-fakexauth'
15[CFG] received stroke: add connection 'ikev2-eap-tls'
15[CFG] left nor right host is our side, assuming left=local
15[CFG] reusing virtual IP address pool 192.168.103.0/24
15[CFG] reusing virtual IP address pool 2002:25f7:7489:3::/112
15[CFG] loaded certificate "CN=aws.bougakov.com" from 'aws.bougakov.com.crt'
15[CFG] id '%any' not confirmed by certificate, defaulting to 'CN=aws.bougakov.com'
15[CFG] added configuration 'ikev2-eap-tls'
06[NET] received packet: from 5.228.173.181[500] to 172.31.28.135[500] (880 bytes)
06[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) V V V V ]
06[ENC] received unknown vendor ID: 1e:2b:51:69:05:99:1c:7d:7c:96:fc:bf:b5:87:e4:61:00:00:00:09
06[ENC] received unknown vendor ID: fb:1d:e3:cd:f3:41:b7:ea:16:b7:e5:be:08:55:f1:20
06[ENC] received unknown vendor ID: 26:24:4d:38:ed:db:61:b3:17:2a:36:e3:d0:cf:b8:19
06[ENC] received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:02
06[IKE] 5.228.173.181 is initiating an IKE_SA
06[IKE] local host is behind NAT, sending keep alives
06[IKE] remote host is behind NAT
06[IKE] sending cert request for "CN=IPSec CA"
06[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(MULT_AUTH) ]
06[NET] sending packet: from 172.31.28.135[500] to 5.228.173.181[500] (337 bytes)
05[NET] received packet: from 5.228.173.181[4500] to 172.31.28.135[4500] (2684 bytes)
05[ENC] parsed IKE_AUTH request 1 [ IDi CERT CERTREQ AUTH N(MOBIKE_SUP) CPRQ(ADDR DNS NBNS SRV) SA TSi TSr ]
05[IKE] received cert request for "CN=IPSec CA"
05[IKE] received 58 cert requests for an unknown ca
05[IKE] received end entity cert "CN=client1"
05[CFG] looking for peer configs matching 172.31.28.135[%any]...5.228.173.181[CN=client1]
05[CFG] selected peer config 'ikev2-pubkey'
05[CFG] using certificate "CN=client1"
05[CFG] using trusted ca certificate "CN=IPSec CA"
05[CFG] checking certificate status of "CN=client1"
05[CFG] certificate status is not available
05[CFG] reached self-signed root ca with a path length of 0
05[IKE] authentication of 'CN=client1' with RSA signature successful
05[IKE] peer supports MOBIKE
05[IKE] authentication of 'CN=aws.bougakov.com' (myself) with RSA signature successful
05[IKE] IKE_SA ikev2-pubkey[1] established between 172.31.28.135[CN=aws.bougakov.com]...5.228.173.181[CN=client1]
05[IKE] scheduling reauthentication in 10186s
05[IKE] maximum IKE_SA lifetime 10726s
05[IKE] sending end entity cert "CN=aws.bougakov.com"
05[IKE] peer requested virtual IP %any
05[CFG] assigning new lease to 'CN=client1'
05[IKE] assigning virtual IP 192.168.103.1 to peer 'CN=client1'
05[IKE] CHILD_SA ikev2-pubkey{1} established with SPIs c90a27be_i a48883c6_o and TS 0.0.0.0/0 === 192.168.103.1/32
05[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH CPRP(ADDR DNS DNS6) SA TSi TSr N(AUTH_LFT) N(MOBIKE_SUP) N(NO_ADD_ADDR) ]
05[NET] sending packet: from 172.31.28.135[4500] to 5.228.173.181[4500] (1404 bytes)
03[IKE] sending keep alive to 5.228.173.181[4500]
Впрочем, удаление пустых строк и комментариев решило проблему.
Ключ в /etc/ipsec.d/private/ лежит.
Скрытый текст
root@ip-172-31-28-135:/etc/ipsec.d/private# ls -la
total 12
drwx------ 2 root root 4096 Feb 19 20:12.
drwxr-xr-x 11 root root 4096 Dec 6 23:04…
-rw------- 1 root root 1704 Feb 19 20:12 aws.bougakov.com.key
root@ip-172-31-28-135:/etc/ipsec.d/private# cat aws.bougakov.com.key
-----BEGIN PRIVATE KEY-----
...
Ключик в формате p12 положил в корень вебсервера на машине, где установлен strongswan, при открытии его браузером получаю «крокозябры» вместо предложения установить сертификат, как это происходит с cer-файлами.
Во-первых, версия 5.2, которую вы обсуждаете, отсуствует в репозиториях (например, для Ubuntu 14 LTS, которой я пользуюсь на Amazon AWS).
Во-вторых, у вас в /etc/ipsec.conf ошибка с отступами в районе строки №16, которая не даёт запустить сервис.
В третьих, вы экспортируете ключ в формате p12, который не кушает Windows Phone (ему cer подавай).
В четвёртых, на Windows 8.1 при попытке подключения выдаёт
Error Code: 13801
Error Description: 13801: IKE authentication credentials are unacceptable.
Possible Causes: This error usually comes in one of the following cases:
1.The machine certificate used for IKEv2 validation on RAS Server does not have 'Server Authentication' as the EKU (Enhanced Key Usage).
2.The machine certificate on RAS server has expired.
3.The root certificate to validate the RAS server certificate is not present on the client.
4.VPN Server Name as given on client doesn’t match with the subjectName of the server certificate.
Если запустить ipsec с ключом --nofork, получаем на экране
05[CFG] selected peer config 'ikev2-pubkey'
05[CFG] using certificate "CN=client1"
05[CFG] using trusted ca certificate "CN=IPSec CA"
05[CFG] checking certificate status of "CN=client1"
05[CFG] certificate status is not available
05[CFG] reached self-signed root ca with a path length of 0
05[IKE] authentication of 'CN=client1' with RSA signature successful
05[IKE] peer supports MOBIKE
05[IKE] no private key found for 'CN=aws.bougakov.com'
05[ENC] generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
05[NET] sending packet: from 172.31.28.135[4500] to 5.228.173.181[4500] (76 bytes)
Всё-таки с учётом того, что метрополитеновский WiFi-провайдер анализирует и модифицирует трафик, правильнее не скрывать номер телефона, а поднимать VPN. Пусть провайдер будет знать ваш MSISDN в привязке к MAC — всё равно трафик шифрован.
Например, государство знает, что выдало вам паспорт, скажем, в Уфе. А переписчик застанет вас в общежитии ВУЗа в Питере.
Основываясь на этом знании Минфин накинет Питеру денег по статье «высшее образование», а башкирский региональный бюджет будет знать, что ему на вас рассчитывать не стоит в плане будущих налогов.
Ключевой момент переписи в том, что все вопросы задаются на определённый момент. Если ребёнок родился на утро после часа X, его не засчитают. Если вы были в командировке в соседнем городе — вас посчитают туда. Такой типа snapshot, ага.
ВЦИОМ, Левада и другие, чтобы установить квоты на представленность в выборке отдельных страт населения — городского, сельского, по регионам — используют данные Росстата. Если вы не знаете, какую долю в населении РФ составляют 35-летние жительницы сёл Мордовии, откуда вам знать, сколько их заложить в выборку?
Конечно, если бы каждый житель РФ был бы пронумерован подряд, и ВЦИОМ, когда взбредёт в голову, мог бы rand() ом выбрать из этого списка номеров пару тысяч и на все эти номера «позвонить», то перепись была бы не нужна.
Но беда в том, что шанс попасть в случайную выборку у московской пенсионерки и уральского лесоруба в реальной жизни — весьма разный. Поэтому раз в 10 лет надо абсолютно всех-всех пересчитать.
Всё проще, на программы поддержки малых народов и редких языков тратится нехило денег, и перепись — один из немногих инструментов контроля результативности этих программ.
В США, например, перепись была прописана прямо в конституции, несмотря на всё либертарианство отцов-основателей:
Representatives and direct Taxes shall be apportioned among the several States which may be included within this Union, according to their respective Numbers, which shall be determined by adding to the whole Number of free Persons, including those bound to Service for a Term of Years, and excluding Indians not taxed, three fifths of all other Persons. The actual Enumeration shall be made within three Years after the first Meeting of the Congress of the United States, and within every subsequent Term of ten Years, in such Manner as they shall by Law direct.
Что же до «ФМС, ФСБ, МВД» — радоваться надо, что вас считают не бюрократы, а отдельная структура, которой от того, сколько насчитали, ни тепло, ни холодно. Вот статистику преступлений считает МВД по числу заявлений в полицию. Потому так и тяжело подать заявление на кражу мобильника — «статистику портит».
Вот тут над вами ржут все демографы, в голос.
Давайте не будем про «кавказское долголетие», возьмём пример понейтральнее. Вот Греция — в 2011 её жёстко накрыл кризис, и греки стали вынуждены считать гос. деньги. Какая-то светлая голова в греческом «пенсионном фонде» («IKA») вдруг сказала «а чего это у нас дофига граждан по сто двадцать лет? А давайте их навестим?»
В результате в стране с 11 миллионами человек было выявлено сто двадцать тысяч случаев, когда бабушку/дедушку тихо похоронили, а вот пенсию за них продолжили получать. Самый дикий случай — это 130-летний пенсионер, который фактически умер 30 лет назад.
Если вы работаете за зарплату в конверте, как это делает четверть населения страны, ваш СНИЛС вообще нигде не светится.
У несовершеннолетних в основной массе СНИЛС нету.
Мне продолжить, или достаточно?
И будут правы.
WiFi есть только в туннелях, на станциях вагонным точкам доступа подключиться не к чему и подсоединённые к ним смартфоны пассажиров начинают переключаться на 2G/3G. Полагаю, что в этот момент сеть мобильного оператора просто не выдерживает вала сигнального трафика. Когда поезд уходит в туннель, на платформе 3G недолгое время «летает»
VPN-соединение в десктопной Windows устанавливается, выдаётся IP-адрес 192.168.103.1, но интернет при этом становится недоступным.
root@ip-172-31-28-135:/home/ubuntu/easy-rsa-ipsec/easyrsa3# ipsec start --nofork Starting strongSwan 5.1.2 IPsec [starter]... 00[DMN] Starting IKE charon daemon (strongSwan 5.1.2, Linux 3.13.0-44-generic, x86_64) 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts' 00[CFG] loaded ca certificate "CN=IPSec CA" from '/etc/ipsec.d/cacerts/ca.crt' 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts' 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts' 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts' 00[CFG] loading crls from '/etc/ipsec.d/crls' 00[CFG] loading secrets from '/etc/ipsec.secrets' 00[CFG] expanding file expression '/var/lib/strongswan/ipsec.secrets.inc' failed 00[CFG] loaded RSA private key from '/etc/ipsec.d/private/aws.bougakov.com.key' 00[LIB] loaded plugins: charon test-vectors aes rc2 sha1 sha2 md4 md5 rdrand random nonce x509 revocation constraints pkcs1 pkcs7 pkcs8 pkcs12 pem openssl xcbc cmac hmac ctr ccm gcm attr kernel-netlink resolve socket-default stroke updown eap-identity eap-mschapv2 addrblock 00[LIB] unable to load 5 plugin features (5 due to unmet dependencies) 00[LIB] dropped capabilities, running as uid 0, gid 0 00[JOB] spawning 16 worker threads charon (2514) started after 20 ms 11[CFG] received stroke: add connection 'ikev2-pubkey' 11[CFG] left nor right host is our side, assuming left=local 11[CFG] adding virtual IP address pool 192.168.103.0/24 11[CFG] adding virtual IP address pool 2002:25f7:7489:3::/112 11[CFG] loaded certificate "CN=aws.bougakov.com" from 'aws.bougakov.com.crt' 11[CFG] id '%any' not confirmed by certificate, defaulting to 'CN=aws.bougakov.com' 11[CFG] added configuration 'ikev2-pubkey' 13[CFG] received stroke: add connection 'ikev1-fakexauth' 13[CFG] left nor right host is our side, assuming left=local 13[CFG] reusing virtual IP address pool 192.168.103.0/24 13[CFG] reusing virtual IP address pool 2002:25f7:7489:3::/112 13[CFG] loaded certificate "CN=aws.bougakov.com" from 'aws.bougakov.com.crt' 13[CFG] id '%any' not confirmed by certificate, defaulting to 'CN=aws.bougakov.com' 13[CFG] added configuration 'ikev1-fakexauth' 15[CFG] received stroke: add connection 'ikev2-eap-tls' 15[CFG] left nor right host is our side, assuming left=local 15[CFG] reusing virtual IP address pool 192.168.103.0/24 15[CFG] reusing virtual IP address pool 2002:25f7:7489:3::/112 15[CFG] loaded certificate "CN=aws.bougakov.com" from 'aws.bougakov.com.crt' 15[CFG] id '%any' not confirmed by certificate, defaulting to 'CN=aws.bougakov.com' 15[CFG] added configuration 'ikev2-eap-tls' 06[NET] received packet: from 5.228.173.181[500] to 172.31.28.135[500] (880 bytes) 06[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) V V V V ] 06[ENC] received unknown vendor ID: 1e:2b:51:69:05:99:1c:7d:7c:96:fc:bf:b5:87:e4:61:00:00:00:09 06[ENC] received unknown vendor ID: fb:1d:e3:cd:f3:41:b7:ea:16:b7:e5:be:08:55:f1:20 06[ENC] received unknown vendor ID: 26:24:4d:38:ed:db:61:b3:17:2a:36:e3:d0:cf:b8:19 06[ENC] received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:02 06[IKE] 5.228.173.181 is initiating an IKE_SA 06[IKE] local host is behind NAT, sending keep alives 06[IKE] remote host is behind NAT 06[IKE] sending cert request for "CN=IPSec CA" 06[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(MULT_AUTH) ] 06[NET] sending packet: from 172.31.28.135[500] to 5.228.173.181[500] (337 bytes) 05[NET] received packet: from 5.228.173.181[4500] to 172.31.28.135[4500] (2684 bytes) 05[ENC] parsed IKE_AUTH request 1 [ IDi CERT CERTREQ AUTH N(MOBIKE_SUP) CPRQ(ADDR DNS NBNS SRV) SA TSi TSr ] 05[IKE] received cert request for "CN=IPSec CA" 05[IKE] received 58 cert requests for an unknown ca 05[IKE] received end entity cert "CN=client1" 05[CFG] looking for peer configs matching 172.31.28.135[%any]...5.228.173.181[CN=client1] 05[CFG] selected peer config 'ikev2-pubkey' 05[CFG] using certificate "CN=client1" 05[CFG] using trusted ca certificate "CN=IPSec CA" 05[CFG] checking certificate status of "CN=client1" 05[CFG] certificate status is not available 05[CFG] reached self-signed root ca with a path length of 0 05[IKE] authentication of 'CN=client1' with RSA signature successful 05[IKE] peer supports MOBIKE 05[IKE] authentication of 'CN=aws.bougakov.com' (myself) with RSA signature successful 05[IKE] IKE_SA ikev2-pubkey[1] established between 172.31.28.135[CN=aws.bougakov.com]...5.228.173.181[CN=client1] 05[IKE] scheduling reauthentication in 10186s 05[IKE] maximum IKE_SA lifetime 10726s 05[IKE] sending end entity cert "CN=aws.bougakov.com" 05[IKE] peer requested virtual IP %any 05[CFG] assigning new lease to 'CN=client1' 05[IKE] assigning virtual IP 192.168.103.1 to peer 'CN=client1' 05[IKE] CHILD_SA ikev2-pubkey{1} established with SPIs c90a27be_i a48883c6_o and TS 0.0.0.0/0 === 192.168.103.1/32 05[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH CPRP(ADDR DNS DNS6) SA TSi TSr N(AUTH_LFT) N(MOBIKE_SUP) N(NO_ADD_ADDR) ] 05[NET] sending packet: from 172.31.28.135[4500] to 5.228.173.181[4500] (1404 bytes) 03[IKE] sending keep alive to 5.228.173.181[4500]Сертификат в формате p12 удалось импортировать, выслав его на почту — таким манером он установился сразу.
Ключ в /etc/ipsec.d/private/ лежит.
total 12
drwx------ 2 root root 4096 Feb 19 20:12.
drwxr-xr-x 11 root root 4096 Dec 6 23:04…
-rw------- 1 root root 1704 Feb 19 20:12 aws.bougakov.com.key
root@ip-172-31-28-135:/etc/ipsec.d/private# cat aws.bougakov.com.key
-----BEGIN PRIVATE KEY-----
...
Ключик в формате p12 положил в корень вебсервера на машине, где установлен strongswan, при открытии его браузером получаю «крокозябры» вместо предложения установить сертификат, как это происходит с cer-файлами.
Во-первых, версия 5.2, которую вы обсуждаете, отсуствует в репозиториях (например, для Ubuntu 14 LTS, которой я пользуюсь на Amazon AWS).
Во-вторых, у вас в /etc/ipsec.conf ошибка с отступами в районе строки №16, которая не даёт запустить сервис.
В третьих, вы экспортируете ключ в формате p12, который не кушает Windows Phone (ему cer подавай).
В четвёртых, на Windows 8.1 при попытке подключения выдаёт
Если запустить ipsec с ключом --nofork, получаем на экране
Например, государство знает, что выдало вам паспорт, скажем, в Уфе. А переписчик застанет вас в общежитии ВУЗа в Питере.
Основываясь на этом знании Минфин накинет Питеру денег по статье «высшее образование», а башкирский региональный бюджет будет знать, что ему на вас рассчитывать не стоит в плане будущих налогов.
Ключевой момент переписи в том, что все вопросы задаются на определённый момент. Если ребёнок родился на утро после часа X, его не засчитают. Если вы были в командировке в соседнем городе — вас посчитают туда. Такой типа snapshot, ага.
Конечно, если бы каждый житель РФ был бы пронумерован подряд, и ВЦИОМ, когда взбредёт в голову, мог бы rand() ом выбрать из этого списка номеров пару тысяч и на все эти номера «позвонить», то перепись была бы не нужна.
Но беда в том, что шанс попасть в случайную выборку у московской пенсионерки и уральского лесоруба в реальной жизни — весьма разный. Поэтому раз в 10 лет надо абсолютно всех-всех пересчитать.
Что же до «ФМС, ФСБ, МВД» — радоваться надо, что вас считают не бюрократы, а отдельная структура, которой от того, сколько насчитали, ни тепло, ни холодно. Вот статистику преступлений считает МВД по числу заявлений в полицию. Потому так и тяжело подать заявление на кражу мобильника — «статистику портит».