xanamyn Posted January 16, 2020 Posted January 16, 2020 Здравствуйте, Девайс - Keenetic Giga II Прошивка - 2.16.D.1.0-0 Пытаюсь заставить работать VPN туннель по L2TP/IPSec. На другом конце VPS c Debian 9. На этом дебиане поднят strongswan + xl2tpd. Настройки на роутере: Янв 16 14:13:12 ipsec 11[IKE] received FRAGMENTATION vendor ID Янв 16 14:13:12 ipsec 11[IKE] received NAT-T (RFC 3947) vendor ID Янв 16 14:13:12 ipsec 11[CFG] received proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 Янв 16 14:13:12 ipsec 11[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 Янв 16 14:13:12 ipsec 11[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 Янв 16 14:13:13 ipsec 05[IKE] received INVALID_KE_PAYLOAD error notify Янв 16 14:13:13 ndm IpSec::Configurator: remote peer of crypto map "L2TP0" returned invalid key notification. Янв 16 14:13:13 ndm IpSec::Configurator: "L2TP0": crypto map active IKE SA: 0, active CHILD SA: 0. Янв 16 14:13:13 ndm Network::Interface::L2tp: "L2TP0": IPsec layer is down, shutdown L2TP layer. Янв 16 14:13:13 ndm Network::Interface::Ppp: "L2TP0": disabled connection. Янв 16 14:13:13 ndm IpSec::Configurator: fallback peer is not defined for crypto map "L2TP0", retry. Янв 16 14:13:13 ndm IpSec::Configurator: "L2TP0": schedule reconnect for crypto map. Quote
0 xanamyn Posted January 16, 2020 Author Posted January 16, 2020 Ipsec.conf на debian'е config setup nat_traversal=yes virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12 oe=off protostack=netkey conn L2TP-PSK authby=secret pfs=no auto=add keyingtries=3 rekey=yes ikelifetime=8h keylife=1h type=transport left=A.B.C.D leftprotoport=17/1701 right=%any rightprotoport=17/%any forceencaps=yes ike=aes128-sha1-modp1024,des-md5-modp768 esp=aes128-sha1-modp1024,des-md5-modp768 #keyexchange=ikev2 Если переключить на IKEv2 то вылетатае такая ошибка: Янв 16 14:49:54 ipsec 12[IKE] received NO_PROPOSAL_CHOSEN error notify Янв 16 14:49:54 ndm IpSec::Configurator: remote peer of crypto map "L2TP0" returned proposal mismatch for IKE phase 1. Янв 16 14:49:54 ndm IpSec::Configurator: "L2TP0": crypto map active IKE SA: 0, active CHILD SA: 0. Янв 16 14:49:54 ndm IpSec::Configurator: fallback peer is not defined for crypto map "L2TP0", retry. Подскажите пожалуйста куда копать? Quote
0 Werld Posted January 16, 2020 Posted January 16, 2020 (edited) Keenetic, насколько я знаю, пока не умеет ikev2. Какой версии у вас strongswan на сервере? Некоторые параметры в вашем ipsec.conf не имеют эффекта в новых версиях strongswan, подробнее см здесь. К примеру в параметре esp=aes128-sha1-modp1024 Выделенное - это вы указали группу Диффи-Хелмана, что, в соответствии с wiki.strongswan.org (PFS is enforced by defining a Diffie-Hellman dhgroup in the esp parameter), принуждает использовать pfs, в то же время у вас написано pfs=no. Может и не в этом дело. У меня к серверу с убунтой 16.04 кинетик подключается по l2tp/ipsec. Версия strongswan у меня там 5.3.5 Мой ipsec.conf: config setup # strictcrlpolicy=yes # uniqueids = no # Add connections here. conn L2TP fragmentation=yes dpdaction=clear dpddelay=60s dpdtimeout=180s keyexchange=ikev1 keyingtries=3 ikelifetime=8h lifetime=1h ike=aes128-sha1-modp1536,aes128-sha1-ecp384,aes128-sha1-modp1024,aes256-sha1-modp1536,aes256-sha1-ecp384,aes256-sha1-modp1024,aes12$ esp=aes128-sha1,aes256-sha1,aes128-sha256,aes256-sha256 left=здесь был ip сервера leftsubnet=%dynamic[/1701] right=%any rightsubnet=%dynamic leftauth=psk rightauth=psk type=transport auto=add Edited January 16, 2020 by werldmgn Quote
0 Le ecureuil Posted January 27, 2020 Posted January 27, 2020 Keenetic умеет IKEv2, другое дело, что в L2TP/IPsec IKEv2 не поддерживается никем, потому и мы не поддерживаем. Или неверный ключ, или настройки не совсем подходят - конфиг повыше больше похож на правду. Quote
0 xanamyn Posted January 29, 2020 Author Posted January 29, 2020 Здравствуйте, давно не заходил, отвечаю по проблеме - все решилось правильной настройкой секретов.Как оказалось суть была в том, что сервер не мог найти нужную пару ip:secret, поставил ip как * и все заработало. Как оказалось ошибка гвоорила о том, что неправильный ключ был, но интуитивно казалось что ошибка была в подборе шифрования. Quote
0 Le ecureuil Posted January 29, 2020 Posted January 29, 2020 Небольшой лайфхак для пользователей strongswan. Можно настроить и включить компонент L2TP/IPsec server, а затем в cli посмотреть содержимое файла temp:ipsec/ipsec.conf. Его можно даже взять за основу - оно точно содержит в себе рабочий конфиг сервера. 1 Quote
Question
xanamyn
Здравствуйте,
Девайс - Keenetic Giga II
Прошивка - 2.16.D.1.0-0
Пытаюсь заставить работать VPN туннель по L2TP/IPSec. На другом конце VPS c Debian 9. На этом дебиане поднят strongswan + xl2tpd.
Настройки на роутере:
5 answers to this question
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.