[L2TP/IPSec VPN]

Здравствуйте,

давно не заходил, отвечаю по проблеме - все решилось правильной настройкой секретов.Как оказалось суть была в том, что сервер не мог найти нужную пару ip:secret, поставил ip как * и все заработало.

Как оказалось ошибка гвоорила о том, что неправильный ключ был, но интуитивно казалось что ошибка была в подборе шифрования.

[L2TP/IPSec VPN]

Ipsec.conf на debian'е

config setup
  nat_traversal=yes
  virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
  oe=off
  protostack=netkey

conn L2TP-PSK
  authby=secret
  pfs=no
  auto=add
  keyingtries=3
  rekey=yes
  ikelifetime=8h
  keylife=1h
  type=transport
  left=A.B.C.D
  leftprotoport=17/1701
  right=%any
  rightprotoport=17/%any
  forceencaps=yes
  ike=aes128-sha1-modp1024,des-md5-modp768
  esp=aes128-sha1-modp1024,des-md5-modp768
  #keyexchange=ikev2

 

Если переключить на IKEv2 то вылетатае такая ошибка:

Янв 16 14:49:54 ipsec 12[IKE] received NO_PROPOSAL_CHOSEN error notify
Янв 16 14:49:54 ndm IpSec::Configurator: remote peer of crypto map "L2TP0" returned proposal mismatch for IKE phase 1.
Янв 16 14:49:54  ndm IpSec::Configurator: "L2TP0": crypto map active IKE SA: 0, active CHILD SA: 0.
Янв 16 14:49:54 ndm IpSec::Configurator: fallback peer is not defined for crypto map "L2TP0", retry.

Подскажите пожалуйста куда копать?

[L2TP/IPSec VPN]

Здравствуйте,

Девайс - Keenetic Giga II

Прошивка - 2.16.D.1.0-0

Пытаюсь заставить работать VPN туннель по L2TP/IPSec. На другом конце VPS c Debian 9. На этом дебиане поднят strongswan + xl2tpd.

Настройки на роутере:

 

Янв 16 14:13:12  ipsec 11[IKE] received FRAGMENTATION vendor ID

Янв 16 14:13:12 ipsec 11[IKE] received NAT-T (RFC 3947) vendor ID

Янв 16 14:13:12 ipsec 11[CFG] received proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024

Янв 16 14:13:12 ipsec 11[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024

Янв 16 14:13:12 ipsec 11[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024

Янв 16 14:13:13 ipsec 05[IKE] received INVALID_KE_PAYLOAD error notify

Янв 16 14:13:13 ndm IpSec::Configurator: remote peer of crypto map "L2TP0" returned invalid key notification.

Янв 16 14:13:13 ndm IpSec::Configurator: "L2TP0": crypto map active IKE SA: 0, active CHILD SA: 0.

Янв 16 14:13:13 ndm Network::Interface::L2tp: "L2TP0": IPsec layer is down, shutdown L2TP layer.

Янв 16 14:13:13 ndm Network::Interface::Ppp: "L2TP0": disabled connection.

Янв 16 14:13:13 ndm IpSec::Configurator: fallback peer is not defined for crypto map "L2TP0", retry.

Янв 16 14:13:13 ndm IpSec::Configurator: "L2TP0": schedule reconnect for crypto map.