Jump to content

Конфигурирование L2TP/IPsec


Recommended Posts

Есть роутер Giga 3 с прошивкой  v2.08(AAUW.3)A. Хочу подключить его к сервису hideme. Вроде все данные  которые выдал сервис я ввёл. Однако не хочет подключатся.  Данные вводились на вкладке интернет-PPPoE/VPN. Вот что в журнале:

Скрытый текст


IpSec::Configurator: reconnecting IPsec crypto map "L2TPoverIPsec0".
Sep 18 10:56:52ndm
IpSec::Configurator: start shutting down IPsec crypto map "L2TPoverIPsec0" task.
Sep 18 10:56:52ipsec
14[CFG] received stroke: unroute 'L2TPoverIPsec0'
Sep 18 10:56:53ipsec
08[CFG] received stroke: terminate 'L2TPoverIPsec0{*}'
Sep 18 10:56:53ipsec
08[CFG] no CHILD_SA named 'L2TPoverIPsec0' found
Sep 18 10:56:53ipsec
05[CFG] received stroke: terminate 'L2TPoverIPsec0[*]'
Sep 18 10:56:53ipsec
09[IKE] deleting IKE_SA L2TPoverIPsec0[76] between 192.168.0.125[192.168.0.125]...91.221.66.60[91.221.66.60]
Sep 18 10:56:53ipsec
09[IKE] sending DELETE for IKE_SA L2TPoverIPsec0[76]
Sep 18 10:56:54ndm
IpSec::Configurator: shutting down IPsec crypto map "L2TPoverIPsec0" task done.
Sep 18 10:56:54ndm
IpSec::Configurator: start initiating IPsec crypto map "L2TPoverIPsec0" task.
Sep 18 10:56:54ipsec
13[CFG] received stroke: initiate 'L2TPoverIPsec0'
Sep 18 10:56:54ipsec
12[IKE] sending DPD vendor ID
Sep 18 10:56:54ipsec
12[IKE] sending NAT-T (RFC 3947) vendor ID
Sep 18 10:56:54ipsec
12[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Sep 18 10:56:54ipsec
12[IKE] initiating Main Mode IKE_SA L2TPoverIPsec0[77] to 91.221.66.60
Sep 18 10:56:54ipsec
16[IKE] received XAuth vendor ID
Sep 18 10:56:54ipsec
16[IKE] received DPD vendor ID
Sep 18 10:56:54ipsec
16[IKE] received NAT-T (RFC 3947) vendor ID
Sep 18 10:56:54ipsec
16[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#
Sep 18 10:56:54ipsec
16[CFG] configured proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#
Sep 18 10:56:54ipsec
16[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#
Sep 18 10:56:54ipsec
06[IKE] linked key for crypto map 'L2TPoverIPsec0' is not found, still searching
Sep 18 10:56:54ipsec
06[IKE] local host is behind NAT, sending keep alives
Sep 18 10:56:54ipsec
11[IKE] IKE_SA L2TPoverIPsec0[77] established between 192.168.0.125[192.168.0.125]...91.221.66.60[91.221.66.60]
Sep 18 10:56:54ipsec
11[IKE] scheduling reauthentication in 28780s
Sep 18 10:56:54ipsec
11[IKE] maximum IKE_SA lifetime 28800s
Sep 18 10:56:54ndm
IpSec::Configurator: initiating IPsec crypto map "L2TPoverIPsec0" task done.
Sep 18 10:56:55ipsec
10[IKE] received NO_PROPOSAL_CHOSEN error notify
Sep 18 10:56:55ndm
IpSec::Configurator: remote peer of crypto map "L2TPoverIPsec0" returned proposal mismatch for IPsec phase 2.
Sep 18 10:56:55ndm
IpSec::Configurator: fallback peer is not defined for IPsec crypto map "L2TPoverIPsec0", retry.
Sep 18 10:56:55ndm
Network::Interface::L2TPSecure: "L2TPoverIPsec0": IP secure layer is down, shutdown L2TP layer.
Sep 18 10:56:55ndm
Network::Interface::PPP: "L2TPoverIPsec0": disabled connection.
Sep 18 10:56:55ndm
IpSec::Configurator: schedule reconnect for IPsec crypto map "L2TPov

 

Что не так?

Link to comment
Share on other sites

Клиент L2TP over IPsec в кинетиках поддерживает только AES-128 CBC, и, насколько я помню, настроить это до сих пор невозможно. Вероятно, сервер ожидает иной способ шифрования, либо иной алгоритм аутентификации. Если на стороне сервера можно настраивать параметры, то установите алгоритм аутентификации SHA1 и шифрование AES-128 CBC.

Edited by vadimbn
Link to comment
Share on other sites

Функция активно переделывается в настоящий момент, ждите пока сделаем новую реализацию.

Заодно можете скидывать примеры сервисов, совместимость с которыми вам была бы нужна и на которых стоит тестировать - попробуем реализовать, если выйдет.

Link to comment
Share on other sites

@Le ecureuil L2TP/IPsec будет только клиент или и сервер?

В новой ios 10 возможность завернуть все данные в тоннель есть только для данного типа подключения. Для ipsec и ike v2 эта настройка отсутсвует. 

IMG_0334.PNG

Link to comment
Share on other sites

Пока планируем только Cisco IPsec. В нем трафик тоже весь по идее должен заворачиваться в туннель. Можете оценить в соседних темах. Про сервер L2TP/IPsec пока речи не идет, нам бы клиента довести до ума и реализа.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...