Конфигурирование L2TP/IPsec

pachalia · September 18, 2016

Есть роутер Giga 3 с прошивкой v2.08(AAUW.3)A. Хочу подключить его к сервису hideme. Вроде все данные которые выдал сервис я ввёл. Однако не хочет подключатся. Данные вводились на вкладке интернет-PPPoE/VPN. Вот что в журнале:

Скрытый текст

				IpSec::Configurator: reconnecting IPsec crypto map "L2TPoverIPsec0".
			

Sep 18 10:56:52ndm

				IpSec::Configurator: start shutting down IPsec crypto map "L2TPoverIPsec0" task.
			

Sep 18 10:56:52ipsec

				14[CFG] received stroke: unroute 'L2TPoverIPsec0'
			

Sep 18 10:56:53ipsec

				08[CFG] received stroke: terminate 'L2TPoverIPsec0{*}'
			

Sep 18 10:56:53ipsec

				08[CFG] no CHILD_SA named 'L2TPoverIPsec0' found
			

Sep 18 10:56:53ipsec

				05[CFG] received stroke: terminate 'L2TPoverIPsec0[*]'
			

Sep 18 10:56:53ipsec

				09[IKE] deleting IKE_SA L2TPoverIPsec0[76] between 192.168.0.125[192.168.0.125]...91.221.66.60[91.221.66.60]
			

Sep 18 10:56:53ipsec

				09[IKE] sending DELETE for IKE_SA L2TPoverIPsec0[76]
			

Sep 18 10:56:54ndm

				IpSec::Configurator: shutting down IPsec crypto map "L2TPoverIPsec0" task done.
			

Sep 18 10:56:54ndm

				IpSec::Configurator: start initiating IPsec crypto map "L2TPoverIPsec0" task.
			

Sep 18 10:56:54ipsec

				13[CFG] received stroke: initiate 'L2TPoverIPsec0'
			

Sep 18 10:56:54ipsec

				12[IKE] sending DPD vendor ID
			

Sep 18 10:56:54ipsec

				12[IKE] sending NAT-T (RFC 3947) vendor ID
			

Sep 18 10:56:54ipsec

				12[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID
			

Sep 18 10:56:54ipsec

				12[IKE] initiating Main Mode IKE_SA L2TPoverIPsec0[77] to 91.221.66.60
			

Sep 18 10:56:54ipsec

				16[IKE] received XAuth vendor ID
			

Sep 18 10:56:54ipsec

				16[IKE] received DPD vendor ID
			

Sep 18 10:56:54ipsec

				16[IKE] received NAT-T (RFC 3947) vendor ID
			

Sep 18 10:56:54ipsec

				16[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#
			

Sep 18 10:56:54ipsec

				16[CFG] configured proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#
			

Sep 18 10:56:54ipsec

				16[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#
			

Sep 18 10:56:54ipsec

				06[IKE] linked key for crypto map 'L2TPoverIPsec0' is not found, still searching
			

Sep 18 10:56:54ipsec

				06[IKE] local host is behind NAT, sending keep alives
			

Sep 18 10:56:54ipsec

				11[IKE] IKE_SA L2TPoverIPsec0[77] established between 192.168.0.125[192.168.0.125]...91.221.66.60[91.221.66.60]
			

Sep 18 10:56:54ipsec

				11[IKE] scheduling reauthentication in 28780s
			

Sep 18 10:56:54ipsec

				11[IKE] maximum IKE_SA lifetime 28800s
			

Sep 18 10:56:54ndm

				IpSec::Configurator: initiating IPsec crypto map "L2TPoverIPsec0" task done.
			

Sep 18 10:56:55ipsec

				10[IKE] received NO_PROPOSAL_CHOSEN error notify
			

Sep 18 10:56:55ndm

				IpSec::Configurator: remote peer of crypto map "L2TPoverIPsec0" returned proposal mismatch for IPsec phase 2.
			

Sep 18 10:56:55ndm

				IpSec::Configurator: fallback peer is not defined for IPsec crypto map "L2TPoverIPsec0", retry.
			

Sep 18 10:56:55ndm

				Network::Interface::L2TPSecure: "L2TPoverIPsec0": IP secure layer is down, shutdown L2TP layer.
			

Sep 18 10:56:55ndm

				Network::Interface::PPP: "L2TPoverIPsec0": disabled connection.
			

Sep 18 10:56:55ndm

				IpSec::Configurator: schedule reconnect for IPsec crypto map "L2TPov
			

Что не так?

vadimbn · September 18, 2016

Клиент L2TP over IPsec в кинетиках поддерживает только AES-128 CBC, и, насколько я помню, настроить это до сих пор невозможно. Вероятно, сервер ожидает иной способ шифрования, либо иной алгоритм аутентификации. Если на стороне сервера можно настраивать параметры, то установите алгоритм аутентификации SHA1 и шифрование AES-128 CBC.

Edited September 18, 2016 by vadimbn

Le ecureuil · September 19, 2016

Функция активно переделывается в настоящий момент, ждите пока сделаем новую реализацию.

Заодно можете скидывать примеры сервисов, совместимость с которыми вам была бы нужна и на которых стоит тестировать - попробуем реализовать, если выйдет.

r13 · September 19, 2016

@Le ecureuil L2TP/IPsec будет только клиент или и сервер?

В новой ios 10 возможность завернуть все данные в тоннель есть только для данного типа подключения. Для ipsec и ike v2 эта настройка отсутсвует.

boxer530 · September 19, 2016

8 часов назад, r13 сказал:

@Le ecureuil L2TP/IPsec будет только клиент или и сервер?

присоединяюсь к вопросу!

Le ecureuil · September 19, 2016

Пока планируем только Cisco IPsec. В нем трафик тоже весь по идее должен заворачиваться в туннель. Можете оценить в соседних темах. Про сервер L2TP/IPsec пока речи не идет, нам бы клиента довести до ума и реализа.

Sign In

Конфигурирование L2TP/IPsec

Recommended Posts

pachalia

Link to comment

Share on other sites

vadimbn

Link to comment

Share on other sites

Le ecureuil

Link to comment

Share on other sites

r13

Link to comment

Share on other sites

boxer530

Link to comment

Share on other sites

Le ecureuil

Link to comment

Share on other sites

Join the conversation

Recently Browsing 0 members

Browse

Activity

Store

My Details