Перестал работать xl2tp

0

1

Вроде как никто сервер не трогал

Он запущен:

Apr 05 10:55:14 <somewhere> xl2tpd[49480]: xl2tpd version xl2tpd-1.3.18 started on <somewhere> PID:49480
Apr 05 10:55:14 <somewhere> xl2tpd[49480]: Written by Mark Spencer, Copyright (C) 1998, Adtran, Inc.
Apr 05 10:55:14 <somewhere> xl2tpd[49480]: Forked by Scott Balmos and David Stipp, (C) 2001
Apr 05 10:55:14 <somewhere> xl2tpd[49480]: Inherited by Jeff McAdams, (C) 2002
Apr 05 10:55:14 <somewhere> xl2tpd[49480]: Forked again by Xelerance (www.xelerance.com) (C) 2006-2016
Apr 05 10:55:14 <somewhere> xl2tpd[49480]: Listening on IP address 0.0.0.0, port 1701

Он слушает порт:

root@ro:~# netstat -nltpu
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 185.216.68.118:3478     0.0.0.0:*               LISTEN      551/turnserver
tcp        0      0 185.216.68.118:3478     0.0.0.0:*               LISTEN      551/turnserver
tcp        0      0 185.216.68.118:1080     0.0.0.0:*               LISTEN      22486/danted
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      575/sshd: /usr/sbin
tcp6       0      0 fe80::216:3eff:fe6:1080 :::*                    LISTEN      22486/danted
tcp6       0      0 :::22                   :::*                    LISTEN      575/sshd: /usr/sbin
tcp6       0      0 2a00:1728:3f::c0cc:1080 :::*                    LISTEN      22486/danted
udp        0      0 0.0.0.0:1701            0.0.0.0:*                           49480/xl2tpd
udp        0      0 0.0.0.0:4500            0.0.0.0:*                           570/charon
udp        0      0 185.216.68.118:3478     0.0.0.0:*                           551/turnserver
udp        0      0 185.216.68.118:3478     0.0.0.0:*                           551/turnserver
udp        0      0 0.0.0.0:500             0.0.0.0:*                           570/charon
udp        0      0 0.0.0.0:68              0.0.0.0:*                           437/dhclient
udp6       0      0 :::4500                 :::*                                570/charon
udp6       0      0 :::500                  :::*                                570/charon
udp6       0      0 fe80::216:3eff:fe69:546 :::*                                496/dhclient

Оно подружилось с strongswan:

Apr 05 11:06:26 <somewhere> ipsec[560]: Starting strongSwan 5.9.8 IPsec [starter]...
Apr 05 11:06:26 <somewhere> ipsec_starter[560]: Starting strongSwan 5.9.8 IPsec [starter]...
Apr 05 11:06:26 <somewhere> charon[574]: 00[DMN] Starting IKE charon daemon (strongSwan 5.9.8, Linux 6.1.0-31-amd64, x86_64)
Apr 05 11:06:26 <somewhere> charon[574]: 00[LIB] providers loaded by OpenSSL: legacy default
Apr 05 11:06:26 <somewhere> charon[574]: 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'
Apr 05 11:06:26 <somewhere> charon[574]: 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'
Apr 05 11:06:26 <somewhere> charon[574]: 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
Apr 05 11:06:26 <somewhere> charon[574]: 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'
Apr 05 11:06:26 <somewhere> charon[574]: 00[CFG] loading crls from '/etc/ipsec.d/crls'
Apr 05 11:06:26 <somewhere> charon[574]: 00[CFG] loading secrets from '/etc/ipsec.secrets'
Apr 05 11:06:26 <somewhere> charon[574]: 00[CFG]   loaded IKE secret for %any %any
Apr 05 11:06:26 <somewhere> charon[574]: 00[LIB] loaded plugins: charon aesni aes rc2 sha2 sha1 md5 mgf1 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs12 pgp dnskey sshkey pem openssl pkcs8 fips-prf gmp agent xcbc hmac kdf gcm drbg attr kernel-netlink resolve socket-default connmark stroke updown eap-mschapv2 xauth-generic counters
Apr 05 11:06:26 <somewhere> charon[574]: 00[LIB] dropped capabilities, running as uid 0, gid 0
Apr 05 11:06:26 <somewhere> charon[574]: 00[JOB] spawning 16 worker threads
Apr 05 11:06:27 <somewhere> ipsec[560]: charon (574) started after 240 ms
Apr 05 11:06:26 <somewhere> ipsec_starter[560]: charon (574) started after 240 ms
Apr 05 11:06:27 <somewhere> charon[574]: 05[CFG] received stroke: add connection 'l2tp-vpn'
Apr 05 11:06:27 <somewhere> charon[574]: 05[CFG] added configuration 'l2tp-vpn'
Apr 05 11:06:27 <somewhere> charon[574]: 06[KNL] flags changed for 2a00:1728:3f::c0cc:76 on eth0

У меня нет никаких лишних правил iptables:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
DROP       tcp  -- !broadband-<somewhere>.ip.moscow.rt.ru  anywhere             tcp dpt:socks

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

netcat говорит что порт открыт:

nc -v -u -z -w 3 <somewhere> 1701
<somewhere> [185.216.68.118] 1701 (l2f) open

Но блин ничего не работает! Как будто порт закрыт. Писал вчера провайдеру, достучался даже до какой-то там нормальной линии поддержки, мне сказали, у них всё ок, всё работает, и порт тоже видят открытым. Ничего не понимаю, не могло же оно само по себе сломаться? Это я дурак или лыжи не едут? Лишних логинов тоже нет, ну т.е. скорее всего конфиги никто не менял. Да и быстро пробежался по серверу, следов взлома нет.

←	Использование Eternalblue в Windows server 2016(в рамках пентеста)

создание и запись образа на HDD/SSD

→

tcpdump -ni any 'port 1701'

gagarin0
(05.04.25 12:05:20 MSK)
Последнее исправление: gagarin0 05.04.25 12:05:31 MSK (всего исправлений: 1)

Мне тут по подписке на тему в четверг приходило:

Второй день наблюдаю блокировку IPsec/Ikev2 на проводном интернете из Томского домру в сторону европейских серверов. Ранее не трогали на проводах этот протокол у нас (за исключением «тренировок»). Что необычно, в отличие от мобильной связи, где это все заблочено уже давно, тут в соединение вмешиваются и ломают на этапе авторизации юзверя. Фильтрация стала явно выборочнее и сложнее в логике, неужели под випинет с гостом каким-нибудь оставляют вайтлист только.

ссылка (недоступно в РФ)

MirandaUser2 ★
(05.04.25 12:07:15 MSK)

Ответ на: комментарий от MirandaUser2 05.04.25 12:07:15 MSK

Да, похоже на то. Беда. А есть ли какие-нибудь именно что VPN протоколы, которые ещё не ушатали? Нужна виртуальная подсетка прям.

Pierre_Dolle
(05.04.25 12:20:30 MSK) автор топика

Ответ на: комментарий от Pierre_Dolle 05.04.25 12:20:30 MSK

Уже полгода как впны за границу порезали, ты только сейчас заметил и удивляешься, поздравляю.

Нужна виртуальная подсетка прям.

Пиши от имени своей фирмы письмо в ркн с обоснованием производственной необходимости. Если же тебе для обхода банов - заканчивай с этим.

firkax ★★★★★
(05.04.25 14:52:37 MSK)

Используй L2TP/IPsec-over-TCP-over-VLESS.

anonymous
(05.04.25 15:32:46 MSK)

Ответ на: комментарий от firkax 05.04.25 14:52:37 MSK

Я самозанятый, вроде как это как минимум ИП надо открывать. Ладно, попробую, чем чёрт не шутит. Забавно, что на том же сервере болтается socks5 через который dnf обновляет всякое, и вроде как пофигу.

Pierre_Dolle
(05.04.25 15:50:20 MSK) автор топика