LINUX.ORG.RU
ФорумAdmin

Debian9+strongswan+xl2tpd - не подключается L2TP

 , , ,


0

0

Всем привет!

Развернул strongswan, поднял за NAT подключение с Debian 9 на mikrotik. IPSEC подключение прошло успешно (по логу mikrotik)

Поставил xl2tpd. 1. Не получилось подключиться по манам в нете - echo «c имяподключения» > /var/run/xl2tpd/l2tdp-control либо нет доступа (из под sudo) либо нет реакции если из под root 2. Добавляю в конфиг xl2tpd.conf - redial=yes, autodial=yes

В локах микротик появляется запись: first L2TP packet received from ip.ip.ip.ip

Коллеги, как его подключать? Сервис рестартовал

P.S. Без ipsec в логах микротик было про требование ipsec при подключении чистым xl2tpd, что правильно.

ipsec.conf 

conn vpn
        authby = secret
        auto = add
        keyexchange = ikev1
        type = transport
        left = %any
        leftprotoport = 17/1701
        right = mikrotik
        rightprotoport = 17/1701
        ike = aes128-sha1-modp2048
        ikelifetime = 8h
        esp = aes128-sha1-modp2048

options.l2tpd 

ipcp-accept-local
ipcp-accept-remote
refuse-eap
require-mschap-v2
noccp
noauth
idle 1800
mtu 1410
mru 1410
defaultroute
usepeerdns
debug
lock
connect-delay 5000
name username
password password

xl2tpd.conf 

[lac l2vpn]
lns = mikrotik
ppp debug = yes
pppoptfile = /etc/ppp/options.l2tpd
length bit = yes
;redial = yes
autodial = yes
name=username
require authentication = no



Последнее исправление: job_maker (всего исправлений: 4)

«Аналогичная проблема. Я настроил strongswan+xl2tpd но оно не работает, помогите.
ЗЫ Системный блок белого цвет.»

anc ★★★★★
()

Важно использовать именно Debian 9? Есть простой и удобный вариант того, как можно развернуть это дело в пару кликов мышью и несколько нажатий клавиш.

Нужен дистрибутив Ubuntu 14.04, а на него установить все это дело простым скриптом, у которого есть даже веб интерфейс — InstaVPN.

telikan
()
Ответ на: комментарий от telikan

Клево! Решение просто супер!
«Парни у вас не работает клиент vpn A с сервером B(?)?
Срочно сносим к люлям вашу систему и ставим другую.
Спросите: А что же будет со всем остальным что у меня работало в старой системе?
Отвечаем: Да-а, пофиг! Главное же клиент vpn A с сервером B(?) работать будет!... может быть... да и вообще вы же не уточнили конкретно версию B(?).»

anc ★★★★★
()
Ответ на: комментарий от anc

а что по l2tp скажете? есть мысли почему коннект не идет дальше? Не хватает чего-то?

По идее l2tp не нужно если можно трафик пустить по ipsec, но немного туплю, интерфейса то нет отдельного, маршрутизацию как делать? а клиент за NAT сидит...

job_maker
() автор топика
Ответ на: комментарий от job_maker

Я бы начал последовательно.
1. ipsec точно устанавливается? ipsec status что говорит?
вот здесь right = mikrotik я надеюсь что-то другое написано.
2. Микротиков не знаю. Вы уверены что ikev1 ? Тоже относиться и к наборам ike и esp.
3. require-mschap-v2 - туда же к пункту два, уверены что на микротике оно?
4. autodial = yes или через echo «c connname» >/var/run/xl2tpd/l2tp-control, «d connname» >/var/run/xl2tpd/l2tp-control - это уже вкусняшки, кому как удобнее.
5. Если ожидаете defroute, то вас ждут еще другие «приключения» в виде роутинга. Собственно как и в других аналогичных случаях с тунелями.
Добавить роут до сервера впн
Запустить впн
Разобраться в новым defroute через тунель

anc ★★★★★
()
Ответ на: комментарий от job_maker

По идее l2tp не нужно если можно трафик пустить по ipsec, но немного туплю, интерфейса то нет отдельного, маршрутизацию как делать? а клиент за NAT сидит...

Сходу даже не знаю как вам и ответить. Задачу чуть больше разверните. Что под фразой «маршрутизацию как делать» подразумевается?
И говорят у strongswan есть userspace реализация (врядли брешут, на openvz пользуют). Но сам не пробовал.

anc ★★★★★
()
Ответ на: комментарий от anc

ЗЫ Еще вот здесь leftprotoport = 17/1701 могут быть подводные камни заменить на leftprotoport = 17/%any и у xl2tp порт поменять port = random_port
Но это для случая кучи соединений. Сферически если другого ничего в части ipsec, l2tp нет - то не нужно.

anc ★★★★★
()
Ответ на: комментарий от anc

1. 

vpn[34]: ESTABLISHED 31 seconds ago, внутреннийipклиента[внутреннийipклиента]...ip_mikrotik[ip_mikrotik]
     vpn{67}:  INSTALLED, TRANSPORT, reqid 34, ESP in UDP SPIs: c7c7ede0_i 0e68ded8_o
     vpn{67}:   внутреннийipклиента/32[udp/l2f] === ip_mikrotik/32[udp/l2f]
     vpn{68}:  INSTALLED, TRANSPORT, reqid 34, ESP in UDP SPIs: c5c1f50b_i 0c0e715d_o
     vpn{68}:   внутреннийipклиента/32[udp/l2f] === ip_mikrotik/32[udp/l2f]
right=ip_mikrotik - адрес микротика внешний 2. подключение установлено, методом перебора пользовался - сработало ikev1 3. Да, уверен. Сам включал именно MSCHAPv2 4. Спасибо! значит это одно и то же. Но почему не подключается? 5. Роутинг сделаю, если будет отдельный интерфейс. Люблю RIP, OSPF. Не могу поднять интерфейс L2.

job_maker
() автор топика
Ответ на: комментарий от job_maker

/etc/xl2tdp/l2tp-secrets

добавил строку * ip_mikrotik preshared_key

job_maker
() автор топика
Ответ на: комментарий от anc

мне нужно попасть в сеть за mikrotik. Через ipsec в теории это возможно сделать. Но кто шлюз тут? Роутер у клиента, или сам mikrotik? Если бы был интерфейс с L2TP - такую маршрутизация я настраивал много раз. А так пока не очень понятно как проложить маршрут.

job_maker
() автор топика
Ответ на: комментарий от job_maker

Тогда курите логи от xl2tp+ppp почему он не хочет подниматься, сходу вроде все правильно у вас.

anc ★★★★★
()
Ответ на: комментарий от job_maker

Тут немного «по другому» относительно традиционного понимания. ip xfrm - далее ключики.
ikev1 умеет только одну подсеть. В v2 плюшек больше, можно даже отдельные порты прописывать, например 192.168.0.7[tcp/22] - но это так, я про вариант в одну сторону.
А если говорить про обьеденения сетей когда одна из них за натом, не пробовал.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin