LINUX.ORG.RU
ФорумAdmin

не поднимается vpn

 ,


0

1

Добрый день не могу подключиться к vpn серверу, как я понимаю, он ругается на неверный пароль, хотя пароль скопирован из

мне надо подключиться к vpn l2tp ipsec и лог подключения выглядит так:

Dec 16 18:04:55 gate-inet xl2tpd[11890]: get_call: allocating new tunnel for host  x.x.x.36, port 1701.
Dec 16 18:04:55 gate-inet xl2tpd[11890]: Connecting to host  x.x.x.36, port 1701
Dec 16 18:04:55 gate-inet xl2tpd[11890]: control_finish: message type is (null)(0).  Tunnel is 0, call is 0.
Dec 16 18:04:55 gate-inet xl2tpd[11890]: control_finish: sending SCCRQ
Dec 16 18:04:56 gate-inet xl2tpd[11890]: network_thread: select timeout with max retries: 5 for tunnel: 49601
Dec 16 18:04:57 gate-inet xl2tpd[11890]: network_thread: recv packet from  x.x.x.36, size = 107, tunnel = 49601, call = 0 ref=0 refhim=0
Dec 16 18:04:57 gate-inet xl2tpd[11890]: message_type_avp: message type 2 (Start-Control-Connection-Reply)
Dec 16 18:04:57 gate-inet xl2tpd[11890]: protocol_version_avp: peer is using version 1, revision 0.
Dec 16 18:04:57 gate-inet xl2tpd[11890]: framing_caps_avp: supported peer frames: async sync
Dec 16 18:04:57 gate-inet xl2tpd[11890]: bearer_caps_avp: supported peer bearers:
Dec 16 18:04:57 gate-inet xl2tpd[11890]: firmware_rev_avp: peer reports firmware version 1680 (0x0690)
Dec 16 18:04:57 gate-inet xl2tpd[11890]: hostname_avp: peer reports hostname 'vpn-server'
Dec 16 18:04:57 gate-inet xl2tpd[11890]: vendor_avp: peer reports vendor 'xelerance.com'
Dec 16 18:04:57 gate-inet xl2tpd[11890]: assigned_tunnel_avp: using peer's tunnel 39129
Dec 16 18:04:57 gate-inet xl2tpd[11890]: receive_window_size_avp: peer wants RWS of 4.  Will use flow control.
Dec 16 18:04:57 gate-inet xl2tpd[11890]: control_finish: message type is Start-Control-Connection-Reply(2).  Tunnel is 39129, call is 0.
Dec 16 18:04:57 gate-inet xl2tpd[11890]: control_finish: sending SCCCN
Dec 16 18:04:57 gate-inet xl2tpd[11890]: Connection established to  x.x.x.36, 1701.  Local: 49601, Remote: 39129 (ref=0/0).
Dec 16 18:04:57 gate-inet xl2tpd[11890]: Calling on tunnel 49601
Dec 16 18:04:57 gate-inet xl2tpd[11890]: control_finish: message type is (null)(0).  Tunnel is 39129, call is 0.
Dec 16 18:04:57 gate-inet xl2tpd[11890]: control_finish: sending ICRQ
Dec 16 18:04:57 gate-inet xl2tpd[11890]: network_thread: recv packet from  x.x.x.36, size = 12, tunnel = 49601, call = 0 ref=0 refhim=0
Dec 16 18:04:57 gate-inet xl2tpd[11890]: check_control: Received out of order control packet on tunnel 39129 (got 0, expected 1)
Dec 16 18:04:57 gate-inet xl2tpd[11890]: handle_packet: bad control packet!
Dec 16 18:04:57 gate-inet xl2tpd[11890]: network_thread: bad packet
Dec 16 18:04:57 gate-inet xl2tpd[11890]: network_thread: recv packet from  x.x.x.36, size = 12, tunnel = 49601, call = 0 ref=0 refhim=0
Dec 16 18:04:57 gate-inet xl2tpd[11890]: network_thread: recv packet from  x.x.x.36, size = 28, tunnel = 49601, call = 637 ref=0 refhim=0
Dec 16 18:04:57 gate-inet xl2tpd[11890]: message_type_avp: message type 11 (Incoming-Call-Reply)
Dec 16 18:04:57 gate-inet xl2tpd[11890]: assigned_call_avp: using peer's call 7582
Dec 16 18:04:57 gate-inet xl2tpd[11890]: control_finish: message type is Incoming-Call-Reply(11).  Tunnel is 39129, call is 7582.
Dec 16 18:04:57 gate-inet xl2tpd[11890]: control_finish: Sending ICCN
Dec 16 18:04:57 gate-inet xl2tpd[11890]: Call established with  x.x.x.36, Local: 637, Remote: 7582, Serial: 1 (ref=0/0)
Dec 16 18:04:57 gate-inet xl2tpd[11890]: start_pppd: I'm running: 
Dec 16 18:04:57 gate-inet xl2tpd[11890]: "/usr/sbin/pppd" 
Dec 16 18:04:57 gate-inet xl2tpd[11890]: "plugin" 
Dec 16 18:04:57 gate-inet xl2tpd[11890]: "pppol2tp.so" 
Dec 16 18:04:57 gate-inet xl2tpd[11890]: "pppol2tp" 
Dec 16 18:04:57 gate-inet xl2tpd[11890]: "7" 
Dec 16 18:04:57 gate-inet xl2tpd[11890]: "passive" 
Dec 16 18:04:57 gate-inet xl2tpd[11890]: "nodetach" 
Dec 16 18:04:57 gate-inet xl2tpd[11890]: ":" 
Dec 16 18:04:57 gate-inet xl2tpd[11890]: "auth" 
Dec 16 18:04:57 gate-inet xl2tpd[11890]: "debug" 
Dec 16 18:04:57 gate-inet xl2tpd[11890]: "file" 
Dec 16 18:04:57 gate-inet xl2tpd[11890]: "/etc/ppp/options.l2tpd.client" 
Dec 16 18:04:57 gate-inet xl2tpd[11890]: network_thread: recv packet from  x.x.x.36, size = 12, tunnel = 49601, call = 0 ref=0 refhim=0
Dec 16 18:04:57 gate-inet xl2tpd[11890]: network_thread: recv packet from  x.x.x.36, size = 12, tunnel = 49601, call = 637 ref=0 refhim=0
Dec 16 18:04:57 gate-inet pppd[11894]: Plugin pppol2tp.so loaded.
Dec 16 18:04:57 gate-inet pppd[11894]: pppd 2.4.7 started by root, uid 0
Dec 16 18:04:57 gate-inet pppd[11894]: using channel 153
Dec 16 18:04:57 gate-inet pppd[11894]: Using interface ppp0
Dec 16 18:04:57 gate-inet pppd[11894]: Connect: ppp0 <--> 
Dec 16 18:04:57 gate-inet pppd[11894]: PPPoL2TP options: debugmask 0
Dec 16 18:04:57 gate-inet pppd[11894]: sent [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap MS-v2> <magic 0xdeb9f886>]
Dec 16 18:04:57 gate-inet systemd-udevd[11895]: link_config: autonegotiation is unset or enabled, the speed and duplex are not writable.
Dec 16 18:04:57 gate-inet pppd[11894]: rcvd [LCP ConfReq id=0x1 <mru 1410> <asyncmap 0x0> <auth chap MS-v2> <magic 0x476aaaf7> <pcomp> <accomp>]
Dec 16 18:04:57 gate-inet pppd[11894]: sent [LCP ConfAck id=0x1 <mru 1410> <asyncmap 0x0> <auth chap MS-v2> <magic 0x476aaaf7> <pcomp> <accomp>]
Dec 16 18:04:57 gate-inet pppd[11894]: rcvd [LCP ConfRej id=0x1 <auth chap MS-v2>]
Dec 16 18:04:57 gate-inet pppd[11894]: sent [LCP ConfReq id=0x2 <asyncmap 0x0> <magic 0xdeb9f886>]
Dec 16 18:04:57 gate-inet pppd[11894]: rcvd [LCP ConfAck id=0x2 <asyncmap 0x0> <magic 0xdeb9f886>]
Dec 16 18:04:57 gate-inet pppd[11894]: PPPoL2TP options: debugmask 0
Dec 16 18:04:57 gate-inet pppd[11894]: sent [LCP EchoReq id=0x0 magic=0xdeb9f886]
Dec 16 18:04:57 gate-inet pppd[11894]: peer refused to authenticate: terminating link
Dec 16 18:04:57 gate-inet pppd[11894]: PPPoL2TP options: debugmask 0
Dec 16 18:04:57 gate-inet pppd[11894]: sent [LCP TermReq id=0x3 "peer refused to authenticate"]
Dec 16 18:04:57 gate-inet pppd[11894]: rcvd [CHAP Challenge id=0x54 <9bf5a1c2ece81f9b508304f7ec2dba89>, name = "vpn-server"]
Dec 16 18:04:57 gate-inet pppd[11894]: Discarded non-LCP packet when LCP not open
Dec 16 18:04:57 gate-inet pppd[11894]: rcvd [LCP EchoRep id=0x0 magic=0x476aaaf7]
Dec 16 18:04:57 gate-inet pppd[11894]: rcvd [LCP TermAck id=0x3]
Dec 16 18:04:57 gate-inet pppd[11894]: Connection terminated.
Dec 16 18:04:57 gate-inet charon: 13[KNL] interface ppp0 deleted
Dec 16 18:04:57 gate-inet pppd[11894]: Exit.

/etc/ppp/chap-secrets user * passw *

/etc/xl2tpd/xl2tpd.conf

[lac myvpn]
lns = x.x.x.36
redial = yes  
ppp debug = yes
pppoptfile = /etc/ppp/options.l2tpd.client
length bit = yes

/etc/ppp/options.l2tpd.client

unit 0
require-mschap-v2
require-mppe-128

debug
logfile /var/log/ppp/vpnlog
name mvkachalov_vpn

refuse-mschap
refuse-chap


refuse-pap
proxyarp

ipsec statusall

Status of IKE charon daemon (strongSwan 5.7.2, Linux 4.19.0-6-amd64, x86_64):
  uptime: 54 minutes, since Dec 16 16:11:24 2019
  malloc: sbrk 2703360, mmap 0, used 584752, free 2118608
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 0
  loaded plugins: charon aesni aes rc2 sha2 sha1 md5 mgf1 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent xcbc hmac gcm attr kernel-netlink resolve socket-default connmark stroke vici updown counters
Listening IP addresses:
  192.168.14.5
Connections:
       myvpn:  %any...x.x.x.36  IKEv1
       myvpn:   local:  uses pre-shared key authentication
       myvpn:   remote: [x.x.x.36] uses pre-shared key authentication
       myvpn:   child:  dynamic === dynamic[0/l2f] TRANSPORT

Помогите пожалуйста разобраться Где я мог накосячить и как понять на каком этапе происходит ошибка? Могу ли я со стороны клиента в этом разобраться?

/etc/ppp/chap-secrets user * passw *

Не забыть поставить ентер в конце

А шлют вас по auth
Что со стороны сервера прописано? Если не ваш то должны быть требования.

anc ★★★★★ ()
Ответ на: комментарий от anc

меня напрягают строчки в логе

Dec 17 09:35:12 gate-inet xl2tpd[14596]: check_control: Received out of order control packet on tunnel 7082 (got 0, expected 1)
Dec 17 09:35:12 gate-inet xl2tpd[14596]: handle_packet: bad control packet!
Dec 17 09:35:12 gate-inet xl2tpd[14596]: network_thread: bad packet

из под windiows все цепляется

требования вроде как есть но …… Имя или адрес сервера: x.x.x.36 Тип:       Протокол L2TP с IPsec (L2TP/IPsec) IPSEC pre-shared key:    123321 При подключении с windows ipsec шифруется aes-256

у меня в ipsec.conf

conn myvpn
  keyexchange=ikev1
  ike=3des-sha1-modp1024!
  esp=3des-sha1! 
  left=%defaultroute
  auto=add
  leftauth=psk
  rightauth=psk
  type=transport
  rightsubnet=%dynamic[/1701]

  right=x.x.x.36

как мониторить проход трафика через ipsec, только tcpdump?

lergus ()

Скинь пароль, попробую от себя подключиться

anonymous ()
Ответ на: комментарий от lergus

Стоп:

При подключении с windows ipsec шифруется aes-256
у меня в ipsec.conf
ike=3des-sha1-modp1024!

Далее смотрите
ipsec status а не ipsec statusall
И логи ipsec

Рекомендую идти последовательно. Сначала запустили ipsec up myvpn, убедились что заработало, а только потом мучать xl2tp

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 2)
Ответ на: комментарий от Meyer

Кстати, а зачем L2TP? Чистый IPsec с IKEv2 проще в настройке и использовании.

Немного оффтопа. Тут от девайсов зависит. Вариативности очень много. У меня настроены разные варианты именно по этой причине. В том числе и ipsec+l2tp.

anc ★★★★★ ()
Ответ на: комментарий от anc

Тут от девайсов зависит.

Например? Android не поддерживает IKEv2 из коробки, но там есть замечательный клиент strongSwan (кстати, интересно - он юзерспейсную реализацию IPsec использует или ядерную), iOS с недавних пор поддерживает, винда вроде бы начиная с 7 поддерживает, macOS поддерживает тоже.

Meyer ★★★★★ ()
Ответ на: комментарий от Meyer

Вы начинаете перечислять, что-то «с не давних пор» а что-то и «с давних», «кому-то доставить». «На вкус и цвет фломастеры разные», гораздо проще держать «зоопарк» что бы не ломать себе голову по каждому клиенту. Тем более что сильно кушать не просит.
Продолжая, bb10 так вообще только в ike2 умеет.
ЗЫ И вы забыли упомянуть, всяческие роутеры.

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от Meyer

Разве что для этого зоопарк держать.

Не только, тех же вендроидов, os x, iOS чуть больше чем дофига. Не все выбрасывают старый и сразу бегут за новым - потому что он новый.

anc ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.