Jump to content
  • 0

L2TP/IPSec VPN


xanamyn

Question

Здравствуйте,

Девайс - Keenetic Giga II

Прошивка - 2.16.D.1.0-0

Пытаюсь заставить работать VPN туннель по L2TP/IPSec. На другом конце VPS c Debian 9. На этом дебиане поднят strongswan + xl2tpd.

Настройки на роутере:

image.thumb.png.92198dcdc1b08cdcd9fb1bbe0e80950b.png

 

Янв 16 14:13:12  ipsec 11[IKE] received FRAGMENTATION vendor ID
Янв 16 14:13:12 ipsec 11[IKE] received NAT-T (RFC 3947) vendor ID
Янв 16 14:13:12 ipsec 11[CFG] received proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Янв 16 14:13:12 ipsec 11[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Янв 16 14:13:12 ipsec 11[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Янв 16 14:13:13 ipsec 05[IKE] received INVALID_KE_PAYLOAD error notify
Янв 16 14:13:13 ndm IpSec::Configurator: remote peer of crypto map "L2TP0" returned invalid key notification.
Янв 16 14:13:13 ndm IpSec::Configurator: "L2TP0": crypto map active IKE SA: 0, active CHILD SA: 0.
Янв 16 14:13:13 ndm Network::Interface::L2tp: "L2TP0": IPsec layer is down, shutdown L2TP layer.
Янв 16 14:13:13 ndm Network::Interface::Ppp: "L2TP0": disabled connection.
Янв 16 14:13:13 ndm IpSec::Configurator: fallback peer is not defined for crypto map "L2TP0", retry.
Янв 16 14:13:13 ndm IpSec::Configurator: "L2TP0": schedule reconnect for crypto map.
Link to comment
Share on other sites

5 answers to this question

Recommended Posts

  • 0

Ipsec.conf на debian'е

config setup
  nat_traversal=yes
  virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
  oe=off
  protostack=netkey

conn L2TP-PSK
  authby=secret
  pfs=no
  auto=add
  keyingtries=3
  rekey=yes
  ikelifetime=8h
  keylife=1h
  type=transport
  left=A.B.C.D
  leftprotoport=17/1701
  right=%any
  rightprotoport=17/%any
  forceencaps=yes
  ike=aes128-sha1-modp1024,des-md5-modp768
  esp=aes128-sha1-modp1024,des-md5-modp768
  #keyexchange=ikev2

 

Если переключить на IKEv2 то вылетатае такая ошибка:

Янв 16 14:49:54 ipsec 12[IKE] received NO_PROPOSAL_CHOSEN error notify
Янв 16 14:49:54 ndm IpSec::Configurator: remote peer of crypto map "L2TP0" returned proposal mismatch for IKE phase 1.
Янв 16 14:49:54  ndm IpSec::Configurator: "L2TP0": crypto map active IKE SA: 0, active CHILD SA: 0.
Янв 16 14:49:54 ndm IpSec::Configurator: fallback peer is not defined for crypto map "L2TP0", retry.

Подскажите пожалуйста куда копать?

Link to comment
Share on other sites

  • 0

Keenetic, насколько я знаю, пока не умеет ikev2. Какой версии у вас strongswan на сервере? Некоторые параметры в вашем ipsec.conf не имеют эффекта в новых версиях strongswan, подробнее см здесь. К примеру в параметре esp=aes128-sha1-modp1024  Выделенное - это вы указали группу Диффи-Хелмана, что, в соответствии с wiki.strongswan.org (PFS is enforced by defining a Diffie-Hellman dhgroup in the esp parameter), принуждает использовать pfs, в то же время у вас написано pfs=no. Может и не в этом дело.

 У меня к серверу с убунтой 16.04 кинетик подключается по l2tp/ipsec. Версия strongswan у меня там 5.3.5

Мой ipsec.conf:

config setup
        # strictcrlpolicy=yes
        # uniqueids = no

# Add connections here.
conn L2TP
        fragmentation=yes
        dpdaction=clear
        dpddelay=60s
        dpdtimeout=180s
        keyexchange=ikev1
        keyingtries=3
        ikelifetime=8h
        lifetime=1h
        ike=aes128-sha1-modp1536,aes128-sha1-ecp384,aes128-sha1-modp1024,aes256-sha1-modp1536,aes256-sha1-ecp384,aes256-sha1-modp1024,aes12$
        esp=aes128-sha1,aes256-sha1,aes128-sha256,aes256-sha256
        left=здесь был ip сервера
        leftsubnet=%dynamic[/1701]
        right=%any
        rightsubnet=%dynamic
        leftauth=psk
        rightauth=psk
        type=transport
        auto=add

Edited by werldmgn
Link to comment
Share on other sites

  • 0

Keenetic умеет IKEv2, другое дело, что в L2TP/IPsec IKEv2 не поддерживается никем, потому и мы не поддерживаем.

Или неверный ключ, или настройки не совсем подходят - конфиг повыше больше похож на правду.

Link to comment
Share on other sites

  • 0

Здравствуйте,

давно не заходил, отвечаю по проблеме - все решилось правильной настройкой секретов.Как оказалось суть была в том, что сервер не мог найти нужную пару ip:secret, поставил ip как * и все заработало.

Как оказалось ошибка гвоорила о том, что неправильный ключ был, но интуитивно казалось что ошибка была в подборе шифрования.

Link to comment
Share on other sites

  • 0

Небольшой лайфхак для пользователей strongswan.

Можно настроить и включить компонент L2TP/IPsec server, а затем в cli посмотреть содержимое файла temp:ipsec/ipsec.conf.

Его можно даже взять за основу - оно точно содержит в себе рабочий конфиг сервера.

  • Thanks 1
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...