LINUX.ORG.RU
ФорумAdmin

Не удается установить соединение VPN (L2TP+IPsec)

 , , , ,


0

2

Пытаюсь установить шифрованное соединение VPN на системе с systemd(Gentoo), через NetworkManager с модулем L2TP.

Включил подробные логи для charon(который со стороны strongswan):

...
May  1 03:22:17 01[MGR2] checkout IKEv1 SA with SPIs d4aea77d50668575_i 0000000000000000_r
May  1 03:22:17 01[MGR2] IKE_SA 91522e34-207c-4966-8bf4-5d5c485d389a[1] successfully checked out
May  1 03:22:17 01[IKE1] <91522e34-207c-4966-8bf4-5d5c485d389a|1> sending retransmit 1 of request message ID 0, seq 1
May  1 03:22:17 01[NET1] <91522e34-207c-4966-8bf4-5d5c485d389a|1> sending packet: from 192.168.1.36 to 91.228.ххх.ххх[500] (236 bytes)
May  1 03:22:17 01[MGR2] <91522e34-207c-4966-8bf4-5d5c485d389a|1> checkin IKEv1 SA 91522e34-207c-4966-8bf4-5d5c485d389a[1] with SPIs d4aea77d50668575_i 0000000000000000_r
May  1 03:22:17 05[JOB2] next event in 7s 199ms, waiting
May  1 03:22:17 01[MGR2] <91522e34-207c-4966-8bf4-5d5c485d389a|1> checkin of IKE_SA successful
May  1 03:22:17 03[NET2] sending packet: from 192.168.1.36 to 91.228.ххх.ххх[500]
May  1 03:22:25 05[JOB2] got event, queuing job for execution
May  1 03:22:25 05[JOB2] no events, waiting
May  1 03:22:25 02[MGR2] checkout IKEv1 SA with SPIs d4aea77d50668575_i 0000000000000000_r
May  1 03:22:25 02[MGR2] IKE_SA 91522e34-207c-4966-8bf4-5d5c485d389a[1] successfully checked out
May  1 03:22:25 02[IKE1] <91522e34-207c-4966-8bf4-5d5c485d389a|1> sending retransmit 2 of request message ID 0, seq 1
May  1 03:22:25 02[NET1] <91522e34-207c-4966-8bf4-5d5c485d389a|1> sending packet: from 192.168.1.36 to 91.228.ххх.ххх[500] (236 bytes)
May  1 03:22:25 02[MGR2] <91522e34-207c-4966-8bf4-5d5c485d389a|1> checkin IKEv1 SA 91522e34-207c-4966-8bf4-5d5c485d389a[1] with SPIs d4aea77d50668575_i 0000000000000000_r
May  1 03:22:25 02[MGR2] <91522e34-207c-4966-8bf4-5d5c485d389a|1> checkin of IKE_SA successful
May  1 03:22:25 03[NET2] sending packet: from 192.168.1.36 to 91.228.ххх.ххх[500]
May  1 03:22:25 05[JOB2] next event in 12s 959ms, waiting
May  1 03:22:29 00[DMN1] SIGINT received, shutting down
May  1 03:22:29 00[MGR2] going to destroy IKE_SA manager and all managed IKE_SAs
May  1 03:22:29 00[MGR2] wait for threads to leave IKE_SAs and delete and destroy them
May  1 03:22:29 00[IKE1] <91522e34-207c-4966-8bf4-5d5c485d389a|1> destroying IKE_SA in state CONNECTING without notification
May  1 03:22:29 00[IKE2] <91522e34-207c-4966-8bf4-5d5c485d389a|1> IKE_SA 91522e34-207c-4966-8bf4-5d5c485d389a[1] state change: CONNECTING => DESTROYING

На сколько я понял он отправляет пакеты, но «вроде как не получает ответ» и его прибивают по timeout(около 20 сек). Собрал трафик wireshark и увидел, что пакеты от сервера приходят почти сразу (ответ около 100мс). Правда я не уверен что это корректный ответ от сервера, но тем не менее, сообщений, что пакет получен в логе я не вижу.

Почему не устанавливается соединение ? Куда копать ?


Ответ на: комментарий от master_0K 
мая 01 10:58:47 zion NetworkManager[733]: <info>  [1682927927.1523] audit: op="statistics" interface="enp81s0" ifindex=3 args="2000" pid=1084 uid=1000 result="success"
мая 01 10:58:47 zion NetworkManager[733]: <info>  [1682927927.1646] audit: op="statistics" interface="enp81s0" ifindex=3 args="500" pid=1166 uid=1000 result="success"
мая 01 10:58:48 zion NetworkManager[733]: <info>  [1682927928.4263] vpn[0x561505b0e880,91522e34-207c-4966-8bf4-5d5c485d389a,"MY-VPN"]: starting l2tp
мая 01 10:58:48 zion NetworkManager[733]: <info>  [1682927928.4265] audit: op="connection-activate" uuid="91522e34-207c-4966-8bf4-5d5c485d389a" name="MY-VPN" pid=1084 uid=1000 result="success"
мая 01 10:58:48 zion nm-l2tp-service[99556]: Check port 1701
мая 01 10:58:48 zion NetworkManager[99569]: Stopping strongSwan IPsec failed: starter is not running
мая 01 10:58:50 zion NetworkManager[99566]: Starting strongSwan 5.9.10 IPsec [starter]...
мая 01 10:58:50 zion NetworkManager[99566]: Loading config setup
мая 01 10:58:50 zion NetworkManager[99566]: Loading conn '91522e34-207c-4966-8bf4-5d5c485d389a'
мая 01 10:58:50 zion ipsec_starter[99566]: Starting strongSwan 5.9.10 IPsec [starter]...
мая 01 10:58:50 zion ipsec_starter[99566]: Loading config setup
мая 01 10:58:50 zion ipsec_starter[99566]: Loading conn '91522e34-207c-4966-8bf4-5d5c485d389a'
мая 01 10:58:50 zion ipsec_starter[99575]: Attempting to start charon...
мая 01 10:58:50 zion ipsec_starter[99575]: charon (99577) started after 20 ms
мая 01 10:58:58 zion NetworkManager[733]: <warn>  [1682927938.4329] vpn[0x561505b0e880,91522e34-207c-4966-8bf4-5d5c485d389a,"MY-VPN"]: failed to connect: 'Timeout was reached'
мая 01 10:59:07 zion NetworkManager[99607]: Stopping strongSwan IPsec...
мая 01 10:59:07 zion NetworkManager[99596]: initiating Main Mode IKE_SA 91522e34-207c-4966-8bf4-5d5c485d389a[1] to 91.228.161.10
мая 01 10:59:07 zion NetworkManager[99596]: generating ID_PROT request 0 [ SA V V V V V ]
мая 01 10:59:07 zion NetworkManager[99596]: sending packet: from 192.168.1.36 to 91.228.161.10[500] (236 bytes)
мая 01 10:59:07 zion NetworkManager[99596]: sending retransmit 1 of request message ID 0, seq 1
мая 01 10:59:07 zion NetworkManager[99596]: sending packet: from 192.168.1.36 to 91.228.161.10[500] (236 bytes)
мая 01 10:59:07 zion NetworkManager[99596]: sending retransmit 2 of request message ID 0, seq 1
мая 01 10:59:07 zion NetworkManager[99596]: sending packet: from 192.168.1.36 to 91.228.161.10[500] (236 bytes)
мая 01 10:59:07 zion NetworkManager[99596]: destroying IKE_SA in state CONNECTING without notification
мая 01 10:59:07 zion NetworkManager[99596]: establishing connection '91522e34-207c-4966-8bf4-5d5c485d389a' failed
мая 01 10:59:07 zion ipsec_starter[99575]: child 99577 (charon) has quit (exit code 0)
мая 01 10:59:07 zion ipsec_starter[99575]: 
мая 01 10:59:07 zion ipsec_starter[99575]: charon stopped after 200 ms
мая 01 10:59:07 zion ipsec_starter[99575]: ipsec starter stopped
мая 01 10:59:07 zion nm-l2tp-service[99556]: Could not establish IPsec connection.
AoD314
() автор топика
Ответ на: комментарий от master_0K

Посмотрел, ничего похожего не нашел. решил попробовать на «хардварном уровне» поднять соединение. Вбил в microtik роутер такие же настройки и соединение установилось мгновенно. Интересно, в чем разница ?

AoD314
() автор топика
Ответ на: комментарий от AoD314

Возможно алгоритм аутентификации или опции шифрования (это «пальцем в небо»). Кстати, лог роутера ничего не подсказывает?

В той теме у ТС в конфиге оказался параметр необходимый для сервера и ненужный клиенту. Не понятно как он там оказался: у него через NetworkManager автоматом работал VPN. Без NetworkManager возникла проблема.

master_0K
()
Ответ на: комментарий от AoD314

А как заполнена форма по кнопке «Настроить IPsec»? Общий ключ не надо копировать, надо просто убедиться, что он заполнен.

Тут возможно надо наоборот - заполнить алгоритмы фазы 1 и 2. Точные значения известны только администратору сервера, но можно попробовать 1 aes128-sha1-modp1024, 2 пустой. Возможно 3des-sha1-modp1024 или другое значение. Возможно, надо заполнить идентификатор шлюза и поставить галку «Принудительная инкапсуляция в UDP». Надо поиграться с этими настройками.

damix9 ★★★
()
Ответ на: комментарий от anc

Через запятую?

У меня сработало aes128-sha1-modp1024, и мне потребовалось заполнить идентификатор шлюза и поставить галку «Принудительная инкапсуляция в UDP».

Кстати, на правах оффтопа:

Интересно, почему если Network Manager не может подключиться к VPN, он не показывает никакого окна с ошибкой? Что ему мешает написать на экране «Неправильный пароль» или «Сервер не отвечает» или хотя бы «Неизвестная ошибка при соединении»? И ведь это распространенное поведение программ на онтопике. Если флешку не удалось подключить, тоже никакого диалога не появится, и только dmesg -w расскажет, что случилось.

damix9 ★★★
()
Ответ на: комментарий от damix9

Через запятую?

Ага.

и поставить галку «Принудительная инкапсуляция в UDP».

Сходу предположений ровно ноль, что бы это значило.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Admin