Перестало работать подключение L2TP/IPsec к кинетику из windows

[plex]

Добрый день.

Есть офисный Keenetic Ultra II, прошивка 3.5.10 (последняя). Поднят VPN-сервер L2TP/IPsec. Я со своего компьютера подключаюсь успешно. А вот у коллеги подключение не устанавливается, ошибка "Попытка L2TP-подключения не удалась из-за ошибки произошедшей на уровне безопасности во время согласований с удаленным компьютером."

В логах: CoID={58CBDEBD-02F3-0002-C7EC-CB58F302D801}: Пользователь DESKTOP-OP9LD77\Наталья установил удаленное подключение Office, которое завершилось сбоем. Возвращен код ошибки 789.

Оба компьютера Windows 10 с последними обновлениями.

Лог успешного подключение с кинетика (1.1.1.1 офисный ip, публичный, 2.2.2.2 - ip моего домашнего роутера):

Скрытый текст

10[IKE] 2.2.2.2 is initiating a Main Mode IKE_SA
Янв 6 15:09:11 ipsec
10[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Янв 6 15:09:11 ipsec
[truncated] 10[CFG] configured proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:DES_CBC/HMAC_MD5_96/PRF_HMA
Янв 6 15:09:11 ipsec
10[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Янв 6 15:09:11 ipsec
10[IKE] sending DPD vendor ID
Янв 6 15:09:11 ipsec
10[IKE] sending FRAGMENTATION vendor ID
Янв 6 15:09:11 ipsec
10[IKE] sending NAT-T (RFC 3947) vendor ID
Янв 6 15:09:11 ipsec
07[IKE] remote host is behind NAT
Янв 6 15:09:11 ipsec
07[IKE] linked key for crypto map '(unnamed)' is not found, still searching
Янв 6 15:09:11 ipsec
08[CFG] looking for pre-shared key peer configs matching 1.1.1.1...2.2.2.2[192.168.1.141]
Янв 6 15:09:11 ipsec
08[CFG] selected peer config "VPNL2TPServer"
Янв 6 15:09:11 ipsec
08[IKE] IKE_SA VPNL2TPServer[25108] established between 1.1.1.1[1.1.1.1]...2.2.2.2[192.168.1.141]
Янв 6 15:09:11 ipsec
08[IKE] scheduling reauthentication in 28777s
Янв 6 15:09:11 ipsec
08[IKE] maximum IKE_SA lifetime 28797s
Янв 6 15:09:11 ipsec
08[IKE] DPD not supported by peer, disabled
Янв 6 15:09:12 ipsec
12[CFG] received proposals: ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:NULL/HMAC_SHA1_96/NO_EXT_SEQ
Янв 6 15:09:12 ipsec
12[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_MD5_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_MD5_96/NO_EXT_SEQ
Янв 6 15:09:12 ipsec
12[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ
Янв 6 15:09:12 ipsec
12[IKE] received 3600s lifetime, configured 28800s
Янв 6 15:09:12 ipsec
12[IKE] received 250000000 lifebytes, configured 0
Янв 6 15:09:12 ipsec
14[IKE] CHILD_SA VPNL2TPServer{31235} established with SPIs c71c4a92_i 75eb5af8_o and TS 1.1.1.1/32[udp/l2tp] === 2.2.2.2/32[udp/l2tp]
Янв 6 15:09:12 ndm
IpSec::CryptoMapInfo: "VPNL2TPServer": IPsec connection to L2TP/IPsec server from "2.2.2.2" is established.
Янв 6 15:09:12 ndm
IpSec::IpSecNetfilter: start reloading netfilter configuration...
Янв 6 15:09:12 ndm
IpSec::IpSecNetfilter: netfilter configuration reloading is done.
Янв 6 15:09:13 ppp-l2tp
l2tp: new tunnel 41037-3 created following reception of SCCRQ from 2.2.2.2:1701
Янв 6 15:09:13 ppp-l2tp
l2tp tunnel 41037-3 (2.2.2.2:1701): established at 1.1.1.1:1701
Янв 6 15:09:13 ppp-l2tp
l2tp tunnel 41037-3 (2.2.2.2:1701): new session 27123-1 created following reception of ICRQ
Янв 6 15:09:13 ppp-l2tp
ppp0:: connect: ppp0 <--> l2tp(2.2.2.2:1701 session 41037-3, 27123-1)
Янв 6 15:09:13 ppp-l2tp
ppp0:ivanov: ivanov: authentication succeeded
Янв 6 15:09:13 ppp-l2tp
ppp0:ivanov: CCP: discarding packet
Янв 6 15:09:13 kernel
l2tp0: renamed from ppp0
Янв 6 15:09:13 ppp-l2tp
l2tp0:ivanov: session started over l2tp session 41037-3, 27123-1
Янв 6 15:09:13 ndm
IpSec::CryptoMapInfo: "VPNL2TPServer": L2TP/IPsec client "ivanov" connected from "2.2.2.2" with address "172.16.2.2".
Янв 6 15:09:14 ndhcps
DHCPINFORM received for 172.16.2.2 from 00:00:00:00:00:00.
Янв 6 15:09:14 ndhcps
sending INFORM to 00:00:00:00:00:00.
sending INFORM to 00:00:00:00:00:00.

Лог неудачного подключения (3.3.3.3 - ip домашнего роутера коллеги):

Скрытый текст

09[IKE] 3.3.3.3 is initiating a Main Mode IKE_SA
Янв 6 15:12:53 ipsec
09[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Янв 6 15:12:53 ipsec
[truncated] 09[CFG] configured proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:DES_CBC/HMAC_MD5_96/PRF_HMA
Янв 6 15:12:53 ipsec
09[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Янв 6 15:12:53 ipsec
09[IKE] sending DPD vendor ID
Янв 6 15:12:53 ipsec
09[IKE] sending FRAGMENTATION vendor ID
Янв 6 15:12:53 ipsec
09[IKE] sending NAT-T (RFC 3947) vendor ID
Янв 6 15:12:54 ipsec
14[IKE] remote host is behind NAT
Янв 6 15:12:54 ipsec
14[IKE] linked key for crypto map '(unnamed)' is not found, still searching
Янв 6 15:12:54 ipsec
05[IKE] message parsing failed
Янв 6 15:12:54 ipsec
05[IKE] ID_PROT request with message ID 0 processing failed
Янв 6 15:12:55 ipsec
07[IKE] message parsing failed
Янв 6 15:12:55 ipsec
07[IKE] ID_PROT request with message ID 0 processing failed
Янв 6 15:12:56 ipsec
06[IKE] message parsing failed
Янв 6 15:12:56 ipsec
06[IKE] ID_PROT request with message ID 0 processing failed
Янв 6 15:12:59 ipsec
11[IKE] message parsing failed
Янв 6 15:12:59 ipsec
11[IKE] ID_PROT request with message ID 0 processing failed
Янв 6 15:13:02 ipsec
14[IKE] message parsing failed
Янв 6 15:13:02 ipsec
14[IKE] ID_PROT request with message ID 0 processing failed
Янв 6 15:13:05 ipsec
15[IKE] message parsing failed
Янв 6 15:13:05 ipsec
15[IKE] ID_PROT request with message ID 0 processing failed
Янв 6 15:13:08 ipsec
08[IKE] message parsing failed
Янв 6 15:13:08 ipsec
08[IKE] ID_PROT request with message ID 0 processing failed
Янв 6 15:13:11 ipsec
09[IKE] message parsing failed
Янв 6 15:13:11 ipsec
09[IKE] ID_PROT request with message ID 0 processing failed
Янв 6 15:13:14 ipsec
15[IKE] message parsing failed
Янв 6 15:13:14 ipsec
15[IKE] ID_PROT request with message ID 0 processing failed
Янв 6 15:13:17 ipsec
06[IKE] message parsing failed
Янв 6 15:13:17 ipsec
06[IKE] ID_PROT request with message ID 0 processing failed
Янв 6 15:13:20 ipsec
09[IKE] message parsing failed
Янв 6 15:13:20 ipsec
09[IKE] ID_PROT request with message ID 0 processing failed
Янв 6 15:13:23 ipsec
15[IKE] message parsing failed
Янв 6 15:13:23 ipsec
15[IKE] ID_PROT request with message ID 0 processing failed
Янв 6 15:13:23 ipsec
10[JOB] deleting half open IKE_SA with 3.3.3.3 after timeout
 

Пробовал, но не помогло:
1) добавлять в реестр параметр:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent] "AssumeUDPEncapsulationContextOnSendRule"=dword:00000002
2) на домашнем роутере включить "Пропускать VPN IPSec"
3) на домашнем роутере добавить компьютер в DMZ
4) отключать брандмауэр на компьютере

Подскажите, куда дальше копать?

[loginella]

https://help.keenetic.com/hc/ru/articles/360000581969-Подключение-к-VPN-серверу-L2TP-IPSec-из-Windows

https://help.keenetic.com/hc/ru/articles/115005131949-Пример-подключения-L2TP-IPsec-в-Windows-7

https://help.keenetic.com/hc/ru/articles/360000684919-VPN-сервер-L2TP-IPsec

[plex]

Похоже, была опечатка в общем ключе *facepalm*
Позже проверю, отпишусь.

[plex]

Да, действительно, общий ключ копировался с символом конца абзаца.

Можно закрывать тему.

Edited January 9, 2022 by plex

[yrzorg]

После очередного обновления винды столкнулся с такой же проблемой - "Попытка L2TP-подключения не удалась из-за ошибки произошедшей на уровне безопасности во время согласований с удаленным компьютером"
Прошивка 3.7.1, клиент - win10
На роутере подняты IPSec(Virtual IP)-сервер и L2TP-сервер. Поэкспериментировав, выяснил, что если отключить IPSec-сервер, то клиенты l2tp подключаются нормально. Если включить обратно IPSec, то клиентов l2tp выкинет

[krass]

5 минут назад, yrzorg сказал:

После очередного обновления винды столкнулся с такой же проблемой - "Попытка L2TP-подключения не удалась из-за ошибки произошедшей на уровне безопасности во время согласований с удаленным компьютером"
Прошивка 3.7.1, клиент - win10
На роутере подняты IPSec(Virtual IP)-сервер и L2TP-сервер. Поэкспериментировав, выяснил, что если отключить IPSec-сервер, то клиенты l2tp подключаются нормально. Если включить обратно IPSec, то клиентов l2tp выкинет

Это некорректное обновление вынь10 вышло....уже выпустили исправление

P.S. А лучше всего запретить автообновление через групповые политики...

Edited January 24, 2022 by krass

[yrzorg]

51 минуту назад, krass сказал:

Это некорректное обновление вынь10 вышло....уже выпустили исправление

Накатил последние обновы, но не помогло, не подключается уже с другой ошибкой "не удалось установить связь между компьютером и VPN-сервером"
Поднял IKEv2-сервер, буду переводить клиентов на него

[krass]

3 минуты назад, yrzorg сказал:

Накатил последние обновы, но не помогло, не подключается уже с другой ошибкой "не удалось установить связь между компьютером и VPN-сервером"
Поднял IKEv2-сервер, буду переводить клиентов на него

Потому что снова обнаружили ошибку....и еще исправление будет...

Имхо, последняя стабильная десятка 1809, а  затем уже баг на баге....не зря же LTSC версия последняя 1809 с расширенной поддержкой...

Так что тут кинетик не виноват, но данный пост будет полезен тем -- кто столкнется с этой проблемой

Попробуйте удалить kb указанный в статье KB5009566 для Windows 11 и KB5009543 для Windows 10

https://3dnews.ru/1058025/nedavnee-obnovlenie-windows-10-i-windows-11-vizivaet-problemi-s-vpnpodklyucheniem

Скрытый текст

 

При попытке подключения появляется сообщение: «Не удалось подключиться к VPN. Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласования с удалённым компьютером». При этом в средство просмотра событий Windows выдаёт ошибку с кодом 789 и сообщает, что подключение не удалось установить.

По данным источника, чаще всего проблема возникает при использовании встроенного VPN-клиента Windows, но с ней также можно столкнуться в случае взаимодействия со сторонними решениями, такими как Ubiquiti, SonicWall, Cisco Meraki и др. В настоящее время наиболее простой способ решения рассматриваемой проблемы заключается в удалении недавнего накопительного обновления. Для этого необходимо из «Центра обновления Windows» открыть «Журнал обновлений» и удалить нужный пакет из списка (KB5009566 для Windows 11 и KB5009543 для Windows 10).

 

 

Очевидно, в скором времени Microsoft выпустит внеплановый патч для устранения упомянутой проблемы. На данный момент неизвестно, когда это может произойти.

 

 

 

Edited January 24, 2022 by krass

[yrzorg]

17 минут назад, krass сказал:

не зря же LTSC версия последняя 1809

так и на ней тоже сломали, хотя обновы под номером KB5009543 нет (на 20H2 есть)
в общем, либо не использовать на кинетике одновременно IPSec и L2TP серверы, либо поднимать другой тип vpn для клиентов

[krass]

2 минуты назад, yrzorg сказал:

так и на ней тоже сломали, хотя обновы под номером KB5009543 нет (на 20H2 есть)
в общем, либо не использовать на кинетике одновременно IPSec и L2TP серверы, либо поднимать другой тип vpn для клиентов

Попробуйте удалить kb указанный в статье KB5009566 для Windows 11 и KB5009543 для Windows 10

https://3dnews.ru/1058025/nedavnee-obnovlenie-windows-10-i-windows-11-vizivaet-problemi-s-vpnpodklyucheniem

А вот это вам не помогло? На сайте бесполезное решение?

Edited January 24, 2022 by krass

[yrzorg]

4 минуты назад, krass сказал:

Попробуйте удалить kb указанный в статье KB5009566 для Windows 11 и KB5009543 для Windows 10

На win10 1809 LTSC нет такой обновы
да и не нужно, перешёл на IKE, благодарю за помощь
 

[evgeny2]

вопрос снят

 

Edited February 28, 2023 by evgeny2
вопрос снят