LINUX.ORG.RU
ФорумAdmin

Не получается настроить IPsec/L2TP сервер


0

1

ОС: Debian Squeeze.

Схема сети такая:
LAN: 192.168.129.0/24
WAN: 172.20.75.0/24 (плюс еще несколько сетей через маршрутизатор прова)
INET: L2TP-сервер в сети прова

Надо настроить так, чтобы клиенты могли подключаться из WAN и INET.

Использовал связку openswan+xl2tpd. Во-первых, я нуб, а по ним в гугле нашлось немало статей. Во-вторых, xl2tpd уже стоит (инет подключен через него). Ну и потому что нужно, чтобы к VPN могли подключаться виндовые клиенты.

Перечитал кучу статей и манов, но видимо все-таки что-то упускаю... Не взлетает!

При помощи openSSL создал CA, подписал им сертификаты для сервера и клиентов. CA, сертификат и ключ сервера скормил openswan. На клиентской машине (win7) .p12 версия сертификата тоже установлена через остнастку mmc.

/etc/ipsec.conf:
(Большая часть взята из /etc/ipsec.d/examples/l2tp-cert.conf)

version	2.0	# conforms to second version of ipsec.conf specification

# basic configuration
config setup
	# NAT-TRAVERSAL support, see README.NAT-Traversal
	nat_traversal=yes
	# exclude networks used on server side by adding %v4:!a.b.c.0/24
	#default: virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
	virtual_private=%v4:192.168.0.0/16
	# OE is now off by default. Uncomment and change to on, to enable.
	oe=off
	# which IPsec stack to use. auto will try netkey, then klips then mast
	protostack=netkey

conn home
	# Use a certificate. Disable Perfect Forward Secrecy.
	#
	authby=rsasig
	pfs=no
	auto=add
	# we cannot rekey for %any, let client rekey
	rekey=no
	# Set ikelifetime and keylife to same defaults windows has
	ikelifetime=8h
	keylife=1h
	# l2tp-over-ipsec is transport mode
	# See http://bugs.xelerance.com/view.php?id=466
	type=transport
	#
	keyingtries=1
        #compress=yes
        disablearrivalcheck=no
	#
	left=%ppp0
	leftid=%fromcert
	leftrsasigkey=%cert
	leftcert=/etc/ipsec.d/certs/ipsec-server.home.pem
	leftprotoport=17/1701
	#
	# The remote user.
	#
	right=%any
	rightca=%same
	rightrsasigkey=%cert
	# Using the magic port of "0" means "any one single port". This is
	# a work around required for Apple OSX clients that use a randomly
	# high port, but propose "0" instead of their port. If that does
	# not work, try 17/%any
	rightprotoport=17/%any
	rightsubnet=vhost:%priv,%no

В /var/lib/openswan/ipsec.secrets.inc PEM pass к ключу от сертификата сервера тоже прописан.

Кстати, почему-то ipsec на запускается при старте системы. Приходится принудительно запускать через init.d.

Вот лог старта ipsec:

Mar 18 00:59:47 debsrv ipsec_setup: Starting Openswan IPsec U2.6.28/K2.6.32-5-686...
Mar 18 00:59:47 debsrv ipsec_setup: Using NETKEY(XFRM) stack
Mar 18 00:59:47 debsrv ipsec_setup: ...Openswan IPsec started
Mar 18 00:59:47 debsrv ipsec__plutorun: adjusting ipsec.d to /etc/ipsec.d
Mar 18 00:59:47 debsrv ipsec__plutorun: 002 loading certificate from /etc/ipsec.d/certs/ipsec-server.home.pem
Mar 18 00:59:47 debsrv ipsec__plutorun: 002   loaded host cert file '/etc/ipsec.d/certs/ipsec-server.home.pem' (3614 bytes)
Mar 18 00:59:47 debsrv ipsec__plutorun: 002   no subjectAltName matches ID '%fromcert', replaced by subject DN
Mar 18 00:59:47 debsrv ipsec__plutorun: 002 added connection description "home"
Mar 18 00:59:47 debsrv ipsec__plutorun: 003 NAT-Traversal: Trying new style NAT-T
Mar 18 00:59:47 debsrv ipsec__plutorun: 003 NAT-Traversal: ESPINUDP(1) setup failed for new style NAT-T family IPv4 (errno=19)
Mar 18 00:59:47 debsrv ipsec__plutorun: 003 NAT-Traversal: Trying old style NAT-T

Теперь к xl2tpd.

/etc/xl2tpd/xl2tpd.conf:

[global]
 port = 1701
; auth file = /etc/xl2tpd/l2tp-secrets 	;
 access control = no
 rand source = dev

[lns home-l2tp]
ip range = 192.168.130.240-192.168.130.250
local ip = 192.168.130.5
require chap = yes
refuse pap = yes
require authentication = no
name = home-l2tp
ppp debug = yes
pppoptfile = /etc/ppp/options.home.l2tp
length bit = yes
flow bit = yes
access control = no поставлен во время отладки, чтобы снизить число вариантов отказа сервера клиенту.

ip range, local ip - пробовал ставить IP LAN-подсети (не занятые, local ip - IP маршрутизатора тоже пытался) - эффекта ноль.

/etc/ppp/options.home.l2tp:

lock
noauth
debug
# logfile /var/log/xl2tpd.log
mtu 1440
mru 1440
lcp-echo-failure 8
lcp-echo-interval 3
nodeflate
nomppe
noproxyarp
Если раскомментировать сторочку logfile, то в daemon.log, syslog отчеты перестают появляться, а xl2tpd.log нет как нет... MTU INET интерфейса - 1460.

/etc/xl2tpd/l2tp-secrets оставлен дефолтным.

/etc/ppp/chap-secrets:

user home-l2tp       pass  *
Астериск вместо home-l2tp тож пытался ставить... без толку!

Что касается настройки файервола, то специально добавлял через iptables правила, логирующие ВСЕ пакеты, а потом парсил полученный лог при помощи grep «IP_клиента». Ни одного пакета не дропается...

В итоге:

При попытке подключения у клиента выскакивает ошибка 651 (модем сообщил об ошибке...). В daemon.log при этом падали такие сообщения:

Mar 18 00:14:02 debsrv xl2tpd[12525]: control_finish: Denied connection to unauthorized peer 92.37.202.230
Mar 18 00:14:02 debsrv xl2tpd[12525]: Connection 29 closed to 92.37.202.230, port 1701 (No Authorization)
Mar 18 00:14:02 debsrv xl2tpd[12525]: check_control: Received out of order control packet on tunnel -1 (got 1, expected 0)
Mar 18 00:14:02 debsrv xl2tpd[12525]: handle_packet: bad control packet!
Mar 18 00:14:07 debsrv xl2tpd[12525]: Unable to deliver closing message for tunnel 8674. Destroying anyway.

После того, как сделал MTU LNS меньше, чем MTU INET-интерфейса, логи изменились вот таким образом:

Mar 18 00:14:02 debsrv xl2tpd[12525]: control_finish: Denied connection to unauthorized peer 92.37.202.230
Mar 18 00:14:02 debsrv xl2tpd[12525]: Connection 29 closed to 92.37.202.230, port 1701 (No Authorization)
Mar 18 00:14:02 debsrv xl2tpd[12525]: check_control: Received out of order control packet on tunnel -1 (got 1, expected 0)
Mar 18 00:14:02 debsrv xl2tpd[12525]: handle_packet: bad control packet!
Mar 18 00:14:04 debsrv xl2tpd[12525]: udp_xmit failed with err=-1:Operation not permitted
Mar 18 00:14:05 debsrv xl2tpd[12525]: udp_xmit failed with err=-1:Operation not permitted
Mar 18 00:14:06 debsrv xl2tpd[12525]: udp_xmit failed with err=-1:Operation not permitted
Mar 18 00:14:07 debsrv xl2tpd[12525]: Unable to deliver closing message for tunnel 8674. Destroying anyway.

Люди добрые! Поможите! Уже скоро неделю как воюю с этой байдой!

Спасибо!


Что то меняет ?
require authentication = yes

koi8-r ()

Покажи, как сеть настроена. И оставь пока логи xl2tpd, показывай логи pluto.

thesis ★★★★★ ()
Последнее исправление: thesis (всего исправлений: 1)
Ответ на: комментарий от thesis

Покажи, как сеть настроена

ipconfig? Или еще что-то нужно?

показывай логи pluto

Я не знаю, куда они падают... В /etc/ipsec.conf надо прописать дебаг для плуто? Меня смутило то, что там несколько раз указано, что это фича чисто для девелоперов.

Liber ()
Ответ на: комментарий от Liber

ipconfig?

Для начала. И iptables -L на сервере.

В /etc/ipsec.conf надо прописать дебаг для плуто?

Пока не надо.

Я не знаю, куда они падают

man ipsec_pluto:

All logging, including diagnostics, is sent to syslog(3) with facility=authpriv; it decides where to put these messages (possibly in /var/log/secure). Since this too can make debugging awkward, the option --stderrlog is used to steer logging to stderr.

thesis ★★★★★ ()
Ответ на: комментарий от Liber

Скорее всего это не то, но вдруг тебе пригодиться =)

Еще можно попробовать вариант с включением в /etc/xl2tpd/xl2tpd.conf:

[global]
debug network = yes
debug tunnel = yes

у меня в конфиге /etc/ppp/options.home.l2tp указаны еще эти строки:

ipcp-accept-local
ipcp-accept-remote
ktune
nomp
proxyarp
crtscts
noccp
nodeflate
vj-max-slots 16
novj
novjccomp
# Buggy client
receive-all
noendpoint

/var/log/xl2tpd.log Видимо прав на запись нет.

koi8-r ()
Ответ на: комментарий от koi8-r

Скорее всего это не то, но вдруг тебе пригодиться =)

Спасибо, тоже попробую!

/var/log/xl2tpd.log Видимо прав на запись нет.

Тоже была такая мысль... Попробую создать и выставить права всем юзерам на чтение/запись.

Liber ()

... и попробуй подключиться с клиента в одной подсети с сервером и с выключеннымы NAT-T и без NAT-а между ними.

koi8-r ()
Ответ на: комментарий от thesis

ifconfig -a:

eth_lan   Link encap:Ethernet  HWaddr 00:26:18:eb:xx:xx
          inet addr:192.168.129.1  Bcast:192.168.129.255  Mask:255.255.255.0
          inet6 addr: fe80::226:18ff:feeb:e28b/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:61745 errors:0 dropped:0 overruns:0 frame:0
          TX packets:89802 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:7779455 (7.4 MiB)  TX bytes:95693101 (91.2 MiB)
          Interrupt:21 Base address:0xec00

eth_wan   Link encap:Ethernet  HWaddr 00:25:22:60:xx:xx
          inet addr:172.20.75.xxx  Bcast:172.20.75.255  Mask:255.255.255.192
          inet6 addr: fe80::225:22ff:fe60:6f59/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:127134 errors:0 dropped:0 overruns:0 frame:0
          TX packets:57419 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:99542306 (94.9 MiB)  TX bytes:9118724 (8.6 MiB)
          Interrupt:25 Base address:0x8000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:1030 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1030 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:114562 (111.8 KiB)  TX bytes:114562 (111.8 KiB)

ppp0      Link encap:Point-to-Point Protocol
          inet addr:195.128.152.xxx  P-t-P:10.0.254.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1456  Metric:1
          RX packets:7313 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7356 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:2557606 (2.4 MiB)  TX bytes:1295335 (1.2 MiB)

possibly in /var/log/secure

такого не нашел. Прошарил весь /var/log. Единственное похожее: ppp-connect-errors. Но он пустой. Что касается --stderrlog, то я с окраин, у меня уже глубокая ночь. Владелец клиентской машины уже десятый сон видит. Завтра снова попробуем с этим ключем.

Спасибо, что отозвался!

Liber ()
Ответ на: комментарий от thesis

Что касается правил файера, то у меня дофига там всего прописано. Но я специально сделал цепочки LOG_ACCEPT, LOG_DROP и т.д. в таблице filter. В них 2 правила: первое логирует, второе аццептит/дропает. В режиме дебага во все джампы c built-in таргетами подставляются LOG_xxx цепочки. То есть, если бы файер отбросил какие-то пакеты клиента, я бы это увидел. Разве что еще в nat/mangle надо что-то добавлять...

iptables -L:

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
DROP_INVALID  all  --  anywhere             anywhere            
SSH_IN_RULES  tcp  --  anywhere             anywhere            tcp dpt:22888 
SYN_FLOOD_CHECK  tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/SYN 
FIN_FLOOD_CHECK  tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN 
RST_FLOOD_CHECK  tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/RST 
PORT_SCAN_CHECK  tcp  --  anywhere             anywhere            
ICMP_RULES  icmp --  anywhere             anywhere            
ALLOW_STATEFULL  all  --  anywhere             anywhere            
RESTRICTED_IN  all  --  anywhere             anywhere            
ALLOWED_IN  all  --  anywhere             anywhere            

Chain FORWARD (policy DROP)
target     prot opt source               destination         
DROP_INVALID  all  --  anywhere             anywhere            
SYN_FLOOD_CHECK  tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/SYN 
FIN_FLOOD_CHECK  tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN 
RST_FLOOD_CHECK  tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/RST 
PORT_SCAN_CHECK  all  --  anywhere             anywhere            
ICMP_RULES  icmp --  anywhere             anywhere            
ALLOW_STATEFULL  all  --  anywhere             anywhere            
RESTRICTED_FORWARD  all  --  anywhere             anywhere            
ALLOWED_FORWARD  all  --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
DROP_INVALID  all  --  anywhere             anywhere            
ICMP_RULES  icmp --  anywhere             anywhere            
ALLOW_STATEFULL  all  --  anywhere             anywhere            
RESTRICTED_OUT  all  --  anywhere             anywhere            
ALLOWED_OUT  all  --  anywhere             anywhere            

Chain ALLOWED_FORWARD (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             liber.home          tcp dpt:21000 /* PM: Liber Greylink DC++ WAN TCP - allow forwarding */ 
ACCEPT     udp  --  anywhere             liber.home          udp dpt:21001 /* PM: Liber Greylink DC++ WAN UDP - allow forwarding */ 
ACCEPT     tcp  --  anywhere             liber.home          tcp dpt:21002 /* PM: Liber Greylink DC++ WAN TLS - allow forwarding */ 
ACCEPT     tcp  --  anywhere             liber.home          tcp dpt:21000 /* PM: Liber Greylink DC++ INET TCP - allow forwarding */ 
ACCEPT     udp  --  anywhere             liber.home          udp dpt:21001 /* PM: Liber Greylink DC++ INET UDP - allow forwarding */ 
ACCEPT     tcp  --  anywhere             liber.home          tcp dpt:21002 /* PM: Liber Greylink DC++ INET TLS - allow forwarding */ 
ACCEPT     tcp  --  anywhere             liber.home          tcp dpt:21003 /* PM: Liber uTorrent WAN TCP - allow forwarding */ 
ACCEPT     udp  --  anywhere             liber.home          udp dpt:21003 /* PM: Liber uTorrent WAN UDP - allow forwarding */ 
ACCEPT     tcp  --  anywhere             liber.home          tcp dpt:21003 /* PM: Liber uTorrent INET TCP - allow forwarding */ 
ACCEPT     udp  --  anywhere             liber.home          udp dpt:21003 /* PM: Liber uTorrent INET UDP - allow forwarding */ 
ACCEPT     tcp  --  anywhere             liber.home          tcp dpt:21004 /* PM: Liber Miranda IM INET TCP - allow forwarding */ 
ACCEPT     tcp  --  anywhere             liber.home          tcp dpt:21005 /* PM: Liber Miranda IM INET TCP - allow forwarding */ 
ACCEPT     tcp  --  anywhere             liber.home          tcp dpt:21006 /* PM: Liber Miranda IM INET TCP - allow forwarding */ 
ACCEPT     udp  --  anywhere             liber.home          udp dpt:21004 /* PM: Liber Miranda IM INET UDP - allow forwarding */ 
ACCEPT     udp  --  anywhere             liber.home          udp dpt:21005 /* PM: Liber Miranda IM INET UDP - allow forwarding */ 
ACCEPT     udp  --  anywhere             liber.home          udp dpt:21006 /* PM: Liber Miranda IM INET UDP - allow forwarding */ 
ACCEPT     tcp  --  anywhere             snake.home          tcp dpt:21100 /* PM: Snake Greylink DC++ WAN TCP - allow forwarding */ 
ACCEPT     udp  --  anywhere             snake.home          udp dpt:21101 /* PM: Snake Greylink DC++ WAN UDP - allow forwarding */ 
ACCEPT     tcp  --  anywhere             snake.home          tcp dpt:21102 /* PM: Snake Greylink DC++ WAN TLS - allow forwarding */ 
ACCEPT     tcp  --  anywhere             snake.home          tcp dpt:21100 /* PM: Snake Greylink DC++ INET TCP - allow forwarding */ 
ACCEPT     udp  --  anywhere             snake.home          udp dpt:21101 /* PM: Snake Greylink DC++ INET UDP - allow forwarding */ 
ACCEPT     tcp  --  anywhere             snake.home          tcp dpt:21102 /* PM: Snake Greylink DC++ INET TLS - allow forwarding */ 
ACCEPT     tcp  --  anywhere             snake.home          tcp dpt:21103 /* PM: Snake uTorrent WAN TCP - allow forwarding */ 
ACCEPT     udp  --  anywhere             snake.home          udp dpt:21103 /* PM: Snake uTorrent WAN UDP - allow forwarding */ 
ACCEPT     tcp  --  anywhere             snake.home          tcp dpt:21103 /* PM: Snake uTorrent INET TCP - allow forwarding */ 
ACCEPT     udp  --  anywhere             snake.home          udp dpt:21103 /* PM: Snake uTorrent INET UDP - allow forwarding */ 

Liber ()
Ответ на: комментарий от thesis
Chain ALLOWED_IN (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:l2f 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:l2f 
ACCEPT     udp  --  anywhere             anywhere            udp dpt:isakmp 
ACCEPT     udp  --  anywhere             anywhere            udp dpt:4500 
ACCEPT     esp  --  anywhere             anywhere            
ACCEPT     ah   --  anywhere             anywhere            
ACCEPT     all  --  192.168.129.0/24     anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     udp  --  anywhere             anywhere            udp dpt:l2f 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:l2f 

Chain ALLOWED_OUT (1 references)
target     prot opt source               destination         
ACCEPT     all  --  server.home          anywhere            
ACCEPT     udp  --  anywhere             anywhere            udp dpt:isakmp 
ACCEPT     esp  --  anywhere             anywhere            
ACCEPT     ah   --  anywhere             anywhere            

Chain ALLOW_STATEFULL (3 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 

Chain DROP_INVALID (3 references)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere            state INVALID 
DROP       tcp  --  anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN state NEW 

Chain FIN_FLOOD_CHECK (2 references)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere            recent: CHECK seconds: 60 hit_count: 1 name: flooders side: source 
RETURN     all  --  anywhere             anywhere            limit: avg 100/sec burst 150 
DROP       all  --  anywhere             anywhere            recent: SET name: flooders side: source 

Chain ICMP_RULES (3 references)
target     prot opt source               destination         
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request 
ACCEPT     icmp --  anywhere             anywhere            icmp echo-reply 
ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded 
ACCEPT     icmp --  anywhere             anywhere            icmp destination-unreachable 
DROP       icmp --  anywhere             anywhere            

Chain LOG_ACCEPT (0 references)
target     prot opt source               destination         
ULOG       all  --  anywhere             anywhere            ULOG copy_range 0 nlgroup 1 prefix `Log all, ACCEPT:' queue_threshold 1 
ACCEPT     all  --  anywhere             anywhere            

Chain LOG_DROP (0 references)
target     prot opt source               destination         
ULOG       all  --  anywhere             anywhere            ULOG copy_range 0 nlgroup 1 prefix `Log all, DROP:' queue_threshold 1 
DROP       all  --  anywhere             anywhere            

Chain LOG_REJECT (0 references)
target     prot opt source               destination         
ULOG       all  --  anywhere             anywhere            ULOG copy_range 0 nlgroup 1 prefix `Log all, REJECT:' queue_threshold 1 
REJECT     all  --  anywhere             anywhere            reject-with icmp-port-unreachable 

Chain PORT_SCAN_CHECK (2 references)
target     prot opt source               destination         
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG 
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG 
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG 
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE 
DROP       tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN,RST 
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN/FIN,SYN 

Chain RESTRICTED_FORWARD (1 references)
target     prot opt source               destination         
DROP       all  --  anywhere             172.20.75.255       

Chain RESTRICTED_IN (1 references)
target     prot opt source               destination         

Chain RESTRICTED_OUT (1 references)
target     prot opt source               destination         

Chain RST_FLOOD_CHECK (2 references)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere            recent: CHECK seconds: 60 hit_count: 1 name: flooders side: source 
RETURN     all  --  anywhere             anywhere            limit: avg 100/sec burst 150 
DROP       all  --  anywhere             anywhere            recent: SET name: flooders side: source 

Chain SSH_BRUTE_CHECK (3 references)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere            ctstate NEW recent: UPDATE seconds: 600 hit_count: 10 name: bruters side: source 
ACCEPT     all  --  anywhere             anywhere            

Chain SSH_FLOOD_CHECK (1 references)
target     prot opt source               destination         
SSH_BRUTE_CHECK  tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/SYN limit: avg 1/sec burst 5 
SSH_BRUTE_CHECK  tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN limit: avg 1/sec burst 5 
SSH_BRUTE_CHECK  tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,PSH,ACK,URG/RST limit: avg 1/sec burst 5 

Chain SSH_IN_RULES (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
SSH_FLOOD_CHECK  tcp  --  anywhere             anywhere            ctstate NEW recent: SET name: bruters side: source 
DROP       all  --  anywhere             anywhere            

Chain SYN_FLOOD_CHECK (2 references)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere            recent: CHECK seconds: 60 hit_count: 1 name: flooders side: source 
RETURN     all  --  anywhere             anywhere            limit: avg 100/sec burst 150 
DROP       all  --  anywhere             anywhere            recent: SET name: flooders side: source 
Liber ()
Ответ на: комментарий от koi8-r

то есть в left=%ppp0 поставить LAN-интерфейс и попробовать с LAN машины достучаться?

Liber ()
Ответ на: комментарий от Liber

Прошарил весь /var/log

В дебиане, наверное, это настроено валиться в /var/log/messages или /var/log/syslog
Отгрепай лог pluto от старта до фейла подключения клиента и покажи.

thesis ★★★★★ ()
Ответ на: комментарий от thesis

... все, что отбрасывается политиками, тоже логируется.

Liber ()
Ответ на: комментарий от Liber

Ну да, если мешает NAT или MTU, то тут все должно заработать.
IpSec плоховато дружит с натами.
Я вроде как даже (могу ошибаться, много времени прошло) когда настраивал в реестре (можно нагуглить ключ) винды вырубал временно ipsec и венда конектилась без шифрования на l2tp. Потом естественно включал.
А вообще в локалке все завелось у меня в первый же день, а гемор был с натами и Radius-ом, но ты его не используешь =))

koi8-r ()
Ответ на: комментарий от thesis

В сислоге все в точности так же, как и в даемонлоге:

Когда MTU в L2TP-сервере был прописан == MTU интернет подключения:

Mar 17 21:00:00 debsrv xl2tpd[17322]: control_finish: Denied connection to unauthorized peer 92.37.202.230
Mar 17 21:00:00 debsrv xl2tpd[17322]: Connection 9 closed to 92.37.202.230, port 1701 (No Authorization)
Mar 17 21:00:00 debsrv xl2tpd[17322]: check_control: Received out of order control packet on tunnel -1 (got 1, expected 0)
Mar 17 21:00:00 debsrv xl2tpd[17322]: handle_packet: bad control packet!
Mar 17 21:00:05 debsrv xl2tpd[17322]: Unable to deliver closing message for tunnel 49389. Destroying anyway.

Когда поставил MTU меньше (IPsec/L2TP-сервер подключение 1440, INET 1460):

Mar 18 00:14:02 debsrv xl2tpd[12525]: control_finish: Denied connection to unauthorized peer 92.37.202.230
Mar 18 00:14:02 debsrv xl2tpd[12525]: Connection 29 closed to 92.37.202.230, port 1701 (No Authorization)
Mar 18 00:14:02 debsrv xl2tpd[12525]: check_control: Received out of order control packet on tunnel -1 (got 1, expected 0)
Mar 18 00:14:02 debsrv xl2tpd[12525]: handle_packet: bad control packet!
Mar 18 00:14:04 debsrv xl2tpd[12525]: udp_xmit failed with err=-1:Operation not permitted
Mar 18 00:14:05 debsrv xl2tpd[12525]: udp_xmit failed with err=-1:Operation not permitted
Mar 18 00:14:06 debsrv xl2tpd[12525]: udp_xmit failed with err=-1:Operation not permitted
Mar 18 00:14:07 debsrv xl2tpd[12525]: Unable to deliver closing message for tunnel 8674. Destroying anyway.

Единственное отличие сислога от даемон лога, вот такие записи, которых раньше вроде не было:

Mar 18 00:06:20 debsrv pppd[10182]: Failed to open /dev/pts/5: No such file or directory
Mar 18 00:06:25 debsrv pppd[10209]: Failed to open /dev/pts/6: No such file or directory

Но они сыплются периодически, независимо от того, пытается в данный момент клиент подрубиться или нет.

Мож фрагментацию пакетов надо отдельно для этого подключения в iptables прописывать? У меня инет глючил, пока:

$iptables --table mangle --append GRINDER --protocol tcp --tcp-flags SYN,RST SYN --jump TCPMSS --clamp-mss-to-pmtu
не прописал.

Сейчас специально перепроверил, кроме этого во время попыток подключения клиента в syslog, daemon.log больше нету ничего.

Что касается /var/log/messages, то там в-основном, только записи pppd демона (при подключении к интернету). В те моменты, когда клиент пытается подрубиться, ничего нет.

Средствами mc сделал поиск по всему /var/log/ на предмет записей «pluto» в файлах логов. Вот что накопал:

(далее скидываю логи в момент последней сегодняшней попытки клиента подключиться):

auth.log:

Mar 18 00:14:01 debsrv pluto[11695]: packet from 92.37.202.230:500: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000008]
Mar 18 00:14:01 debsrv pluto[11695]: packet from 92.37.202.230:500: received Vendor ID payload [RFC 3947] method set to=109 
Mar 18 00:14:01 debsrv pluto[11695]: packet from 92.37.202.230:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] meth=106, but already using method 109
Mar 18 00:14:01 debsrv pluto[11695]: packet from 92.37.202.230:500: ignoring Vendor ID payload [FRAGMENTATION]
Mar 18 00:14:01 debsrv pluto[11695]: packet from 92.37.202.230:500: ignoring Vendor ID payload [MS-Negotiation Discovery Capable]
Mar 18 00:14:01 debsrv pluto[11695]: packet from 92.37.202.230:500: ignoring Vendor ID payload [Vid-Initial-Contact]
Mar 18 00:14:01 debsrv pluto[11695]: packet from 92.37.202.230:500: ignoring Vendor ID payload [IKE CGA version 1]
Mar 18 00:14:01 debsrv pluto[11695]: "home"[7] 92.37.202.230 #7: responding to Main Mode from unknown peer 92.37.202.230
Mar 18 00:14:01 debsrv pluto[11695]: "home"[7] 92.37.202.230 #7: OAKLEY_GROUP 20 not supported.  Attribute OAKLEY_GROUP_DESCRIPTION
Mar 18 00:14:01 debsrv pluto[11695]: "home"[7] 92.37.202.230 #7: OAKLEY_GROUP 19 not supported.  Attribute OAKLEY_GROUP_DESCRIPTION
Mar 18 00:14:01 debsrv pluto[11695]: "home"[7] 92.37.202.230 #7: transition from state STATE_MAIN_R0 to state STATE_MAIN_R1
Mar 18 00:14:01 debsrv pluto[11695]: "home"[7] 92.37.202.230 #7: STATE_MAIN_R1: sent MR1, expecting MI2
Mar 18 00:14:01 debsrv pluto[11695]: "home"[7] 92.37.202.230 #7: NAT-Traversal: Result using RFC 3947 (NAT-Traversal): peer is NATed
Mar 18 00:14:02 debsrv pluto[11695]: "home"[7] 92.37.202.230 #7: transition from state STATE_MAIN_R1 to state STATE_MAIN_R2
Mar 18 00:14:02 debsrv pluto[11695]: "home"[7] 92.37.202.230 #7: STATE_MAIN_R2: sent MR2, expecting MI3
Mar 18 00:14:02 debsrv pluto[11695]: "home"[7] 92.37.202.230 #7: Main mode peer ID is ID_DER_ASN1_DN: 'C=RU, ST=Hab, L=Hab, O=Home, CN=drvital'
Mar 18 00:14:02 debsrv pluto[11695]: "home"[7] 92.37.202.230 #7: switched from "home" to "home"
Mar 18 00:14:02 debsrv pluto[11695]: "home"[8] 92.37.202.230 #7: deleting connection "home" instance with peer 92.37.202.230 {isakmp=#0/ipsec=#0}
Mar 18 00:14:02 debsrv pluto[11695]: "home"[8] 92.37.202.230 #7: I am sending my cert
Mar 18 00:14:02 debsrv pluto[11695]: "home"[8] 92.37.202.230 #7: transition from state STATE_MAIN_R2 to state STATE_MAIN_R3
Mar 18 00:14:02 debsrv pluto[11695]: "home"[8] 92.37.202.230 #7: new NAT mapping for #7, was 92.37.202.230:500, now 92.37.202.230:4500
Mar 18 00:14:02 debsrv pluto[11695]: "home"[8] 92.37.202.230 #7: STATE_MAIN_R3: sent MR3, ISAKMP SA established {auth=OAKLEY_RSA_SIG cipher=aes_256 prf=oakley_sha group=modp2048}
Mar 18 00:14:02 debsrv pluto[11695]: "home"[8] 92.37.202.230 #7: the peer proposed: 195.128.152.xxx/32:17/1701 -> 192.168.0.100/32:17/0
Mar 18 00:14:02 debsrv pluto[11695]: "home"[8] 92.37.202.230 #7: NAT-Traversal: received 2 NAT-OA. using first, ignoring others
Mar 18 00:14:02 debsrv pluto[11695]: "home"[8] 92.37.202.230 #8: responding to Quick Mode proposal {msgid:01000000}
Mar 18 00:14:02 debsrv pluto[11695]: "home"[8] 92.37.202.230 #8:     us: 195.128.152.xxx<%ppp0>[C=RU, ST=Hab, L=Hab, O=Home, CN=debsrv,+S=C]:17/1701
Mar 18 00:14:02 debsrv pluto[11695]: "home"[8] 92.37.202.230 #8:   them: 92.37.202.230[C=RU, ST=Hab, L=Hab, O=Home, CN=drvital,+S=C]:17/1701===192.168.0.100/32
Mar 18 00:14:02 debsrv pluto[11695]: "home"[8] 92.37.202.230 #8: transition from state STATE_QUICK_R0 to state STATE_QUICK_R1
Mar 18 00:14:02 debsrv pluto[11695]: "home"[8] 92.37.202.230 #8: STATE_QUICK_R1: sent QR1, inbound IPsec SA installed, expecting QI2
Mar 18 00:14:02 debsrv pluto[11695]: "home"[8] 92.37.202.230 #8: transition from state STATE_QUICK_R1 to state STATE_QUICK_R2
Mar 18 00:14:02 debsrv pluto[11695]: "home"[8] 92.37.202.230 #8: STATE_QUICK_R2: IPsec SA established transport mode {ESP=>0x48254e52 <0xc2168795 xfrm=AES_128-HMAC_SHA1 NATOA=192.168.0.100 NATD=92.37.202.230:4500 DPD=none}
Mar 18 00:14:02 debsrv pluto[11695]: "home"[8] 92.37.202.230 #7: received Delete SA(0x48254e52) payload: deleting IPSEC State #8
Mar 18 00:14:02 debsrv pluto[11695]: "home"[8] 92.37.202.230 #7: ERROR: netlink XFRM_MSG_DELPOLICY response for flow eroute_connection delete included errno 2: No such file or directory
Mar 18 00:14:02 debsrv pluto[11695]: "home"[8] 92.37.202.230 #7: received and ignored informational message
Mar 18 00:14:02 debsrv pluto[11695]: "home"[8] 92.37.202.230 #7: received Delete SA payload: deleting ISAKMP State #7
Mar 18 00:14:02 debsrv pluto[11695]: "home"[8] 92.37.202.230: deleting connection "home" instance with peer 92.37.202.230 {isakmp=#0/ipsec=#0}
Mar 18 00:14:02 debsrv pluto[11695]: packet from 92.37.202.230:4500: received and ignored informational message
Mar 18 00:14:03 debsrv pluto[11695]: initiate on demand from 195.128.152.xxx:1701 to 92.37.202.230:1701 proto=17 state: fos_start because: acquire

Liber ()
Ответ на: комментарий от thesis

В messages все-таки кое-что было. Только такие записи:

Mar 18 00:59:47 debsrv pluto: adjusting ipsec.d to /etc/ipsec.d
Тоже самое в user.log

В syslog такие записи (по времени не совпадают с попытками подключения, видимо добавлялись при перезапуске ipsec):

Mar 17 23:59:51 debsrv ipsec__plutorun: adjusting ipsec.d to /etc/ipsec.d
Mar 17 23:59:51 debsrv pluto: adjusting ipsec.d to /etc/ipsec.d
Mar 17 23:59:51 debsrv ipsec__plutorun: 002 loading certificate from /etc/ipsec.d/certs/ipsec-server.home.pem
Mar 17 23:59:51 debsrv ipsec__plutorun: 002   loaded host cert file '/etc/ipsec.d/certs/ipsec-server.home.pem' (3614 bytes)
Mar 17 23:59:51 debsrv ipsec__plutorun: 002   no subjectAltName matches ID '%fromcert', replaced by subject DN
Mar 17 23:59:51 debsrv ipsec__plutorun: 002 added connection description "home"
Mar 17 23:59:51 debsrv ipsec__plutorun: 003 NAT-Traversal: Trying new style NAT-T
Mar 17 23:59:51 debsrv ipsec__plutorun: 003 NAT-Traversal: ESPINUDP(1) setup failed for new style NAT-T family IPv4 (errno=19)
Mar 17 23:59:51 debsrv ipsec__plutorun: 003 NAT-Traversal: Trying old style NAT-T

Боже, благослави разрабов grep'а!.. ))

Liber ()
Ответ на: комментарий от koi8-r

Ну да, если мешает NAT или MTU, то тут все должно заработать.

Логично! Спасибо!

Я вроде как даже (могу ошибаться, много времени прошло) когда настраивал в реестре (можно нагуглить ключ) винды вырубал временно ipsec и венда конектилась без шифрования на l2tp.

У меня L2TP прова так работает )

А вообще в локалке все завелось у меня в первый же день, а гемор был с натами и Radius-ом, но ты его не используешь =))

Да я запутался в конфиге openswan. left, right, virtual_private... Где какую подсеть/IP прописывать?.. То ли реальный адрес LAN указывать, то ли, наоборот, незанятые подсети... Все мозги уже себе поломал! %(

Liber ()
Ответ на: комментарий от Liber

Уважаемые, у меня уже почти утро. Сил больше нету!

Буду благодарен за любые подсказки и советы.

Завтра погляжу и все попробую, если какие-нибудь предложения появятся.

Еще раз всем спасибо!

Liber ()
Ответ на: комментарий от Liber

А покажи, что pppd валит в /var/log/daemon

Я думал, у тебя с тоннелем неполадки (не люблю внимательно читать), но вроде там все нормально.

thesis ★★★★★ ()
Последнее исправление: thesis (всего исправлений: 2)
Ответ на: комментарий от thesis

А покажи, что pppd валит в /var/log/daemon

Ну, вот что там есть интересного. Лог с момента перезапуска xl2tpd. Сперва демон коннектится к инету. Потом примерно в 00:14:00 была попытка подключения клиента. Это никак в логах не отразилось:

Mar 18 00:11:18 debsrv xl2tpd[12525]: start_pppd: I'm running:
Mar 18 00:11:18 debsrv xl2tpd[12525]: "/usr/sbin/pppd"
Mar 18 00:11:18 debsrv pppd[12575]: pppd 2.4.5 started by root, uid 0
Mar 18 00:11:18 debsrv pppd[12575]: Script /bin/true finished (pid 12576), status = 0x0
Mar 18 00:11:18 debsrv pppd[12575]: Serial connection established.
Mar 18 00:11:18 debsrv pppd[12575]: using channel 222
Mar 18 00:11:18 debsrv pppd[12575]: Using interface ppp0
Mar 18 00:11:18 debsrv pppd[12575]: Connect: ppp0 <--> /dev/pts/0
Mar 18 00:11:19 debsrv pppd[12575]: sent [LCP ConfReq id=0x1 <mru 1460> <asyncmap 0x0> <magic 0xe4cf703>]
Mar 18 00:11:19 debsrv pppd[12575]: rcvd [LCP ConfRej id=0x1 <asyncmap 0x0>]
Mar 18 00:11:19 debsrv pppd[12575]: sent [LCP ConfReq id=0x2 <mru 1460> <magic 0xe4cf703>]
Mar 18 00:11:19 debsrv pppd[12575]: rcvd [LCP ConfNak id=0x2 <mru 1456>]
Mar 18 00:11:19 debsrv pppd[12575]: sent [LCP ConfReq id=0x3 <mru 1456> <magic 0xe4cf703>]
Mar 18 00:11:19 debsrv pppd[12575]: rcvd [LCP ConfAck id=0x3 <mru 1456> <magic 0xe4cf703>]
Mar 18 00:11:20 debsrv pppd[10182]: Failed to open /dev/pts/5: No such file or directory
Mar 18 00:11:21 debsrv pppd[12575]: rcvd [LCP ConfReq id=0x12 <mru 1456> <auth chap MD5> <magic 0x378eb5c5> <mrru 1524> <endpoint [IP:10.145.60.32]>]
Mar 18 00:11:21 debsrv pppd[12575]: sent [LCP ConfRej id=0x12 <mrru 1524>]
Mar 18 00:11:21 debsrv pppd[12575]: rcvd [LCP ConfReq id=0x13 <mru 1456> <auth chap MD5> <magic 0x378eb5c5>]
Mar 18 00:11:21 debsrv pppd[12575]: sent [LCP ConfAck id=0x13 <mru 1456> <auth chap MD5> <magic 0x378eb5c5>]
Mar 18 00:11:21 debsrv pppd[12575]: sent [LCP EchoReq id=0x0 magic=0xe4cf703]
Mar 18 00:11:21 debsrv pppd[12575]: rcvd [CHAP Challenge id=0x1 <20af5a394b6e86421211949f768546b2>, name = "Redback"]
Mar 18 00:11:21 debsrv pppd[12575]: sent [CHAP Response id=0x1 <79eb32f7c1c64b44d28cfe32dde5228f>, name = "kmsnet075221c"]
Mar 18 00:11:21 debsrv pppd[12575]: rcvd [LCP EchoRep id=0x0 magic=0x378eb5c5]
Mar 18 00:11:21 debsrv pppd[12575]: rcvd [CHAP Success id=0x1 "CHAP authentication success, unit 219"]
Mar 18 00:11:21 debsrv pppd[12575]: CHAP authentication succeeded: CHAP authentication success, unit 219
Mar 18 00:11:21 debsrv pppd[12575]: CHAP authentication succeeded
Mar 18 00:11:21 debsrv pppd[12575]: sent [IPCP ConfReq id=0x1 <compress VJ 0f 01> <addr 192.168.0.10>]
Mar 18 00:11:21 debsrv pppd[12575]: rcvd [IPCP ConfReq id=0x17 <addr 10.0.254.1>]
Mar 18 00:11:21 debsrv pppd[12575]: sent [IPCP ConfAck id=0x17 <addr 10.0.254.1>]
Mar 18 00:11:21 debsrv pppd[12575]: rcvd [IPCP ConfRej id=0x1 <compress VJ 0f 01>]
Mar 18 00:11:21 debsrv pppd[12575]: sent [IPCP ConfReq id=0x2 <addr 192.168.0.10>]
Mar 18 00:11:21 debsrv pppd[12575]: rcvd [IPCP ConfNak id=0x2 <addr 195.128.152.xxx>]
Mar 18 00:11:21 debsrv pppd[12575]: sent [IPCP ConfReq id=0x3 <addr 195.128.152.xxx>]
Mar 18 00:11:21 debsrv pppd[12575]: rcvd [IPCP ConfAck id=0x3 <addr 195.128.152.xxx>]
Mar 18 00:11:21 debsrv pppd[12575]: replacing old default route to eth_wan [172.20.75.254]
Mar 18 00:11:21 debsrv pppd[12575]: local  IP address 195.128.152.xxx
Mar 18 00:11:21 debsrv pppd[12575]: remote IP address 10.0.254.1
Mar 18 00:11:21 debsrv pppd[12575]: Script /etc/ppp/ip-up started (pid 12580)
Mar 18 00:11:23 debsrv pppd[12575]: Script /etc/ppp/ip-up finished (pid 12580), status = 0x0
Mar 18 00:11:25 debsrv pppd[10209]: Failed to open /dev/pts/6: No such file or directory
Mar 18 00:11:50 debsrv pppd[10182]: Failed to open /dev/pts/5: No such file or directory
Mar 18 00:11:55 debsrv pppd[10209]: Failed to open /dev/pts/6: No such file or directory
Mar 18 00:12:20 debsrv pppd[10182]: Failed to open /dev/pts/5: No such file or directory
Mar 18 00:12:25 debsrv pppd[10209]: Failed to open /dev/pts/6: No such file or directory
Mar 18 00:12:50 debsrv pppd[10182]: Failed to open /dev/pts/5: No such file or directory
Mar 18 00:12:55 debsrv pppd[10209]: Failed to open /dev/pts/6: No such file or directory
Mar 18 00:13:20 debsrv pppd[10182]: Failed to open /dev/pts/5: No such file or directory
Mar 18 00:13:25 debsrv pppd[10209]: Failed to open /dev/pts/6: No such file or directory
Mar 18 00:13:50 debsrv pppd[10182]: Failed to open /dev/pts/5: No such file or directory
Mar 18 00:13:55 debsrv pppd[10209]: Failed to open /dev/pts/6: No such file or directory
Mar 18 00:14:20 debsrv pppd[10182]: Failed to open /dev/pts/5: No such file or directory
Mar 18 00:14:25 debsrv pppd[10209]: Failed to open /dev/pts/6: No such file or directory
Mar 18 00:14:50 debsrv pppd[10182]: Failed to open /dev/pts/5: No such file or directory
Mar 18 00:14:55 debsrv pppd[10209]: Failed to open /dev/pts/6: No such file or directory
Mar 18 00:15:20 debsrv pppd[10182]: Failed to open /dev/pts/5: No such file or directory
Mar 18 00:15:25 debsrv pppd[10209]: Failed to open /dev/pts/6: No such file or directory
Mar 18 00:15:50 debsrv pppd[10182]: Failed to open /dev/pts/5: No such file or directory
Mar 18 00:15:55 debsrv pppd[10209]: Failed to open /dev/pts/6: No such file or directory
Mar 18 00:16:20 debsrv pppd[10182]: Failed to open /dev/pts/5: No such file or directory
Mar 18 00:16:26 debsrv pppd[10209]: Failed to open /dev/pts/6: No such file or directory
Mar 18 00:16:51 debsrv pppd[10182]: Failed to open /dev/pts/5: No such file or directory
Mar 18 00:16:56 debsrv pppd[10209]: Failed to open /dev/pts/6: No such file or directory
Mar 18 00:17:21 debsrv pppd[10182]: Failed to open /dev/pts/5: No such file or directory
Mar 18 00:17:26 debsrv pppd[10209]: Failed to open /dev/pts/6: No such file or directory
Mar 18 00:17:51 debsrv pppd[10182]: Failed to open /dev/pts/5: No such file or directory
Mar 18 00:17:56 debsrv pppd[10209]: Failed to open /dev/pts/6: No such file or directory
Mar 18 00:18:21 debsrv pppd[10182]: Failed to open /dev/pts/5: No such file or directory
# и так продолжается до перезагрузки сервака
# (как я уже говорил, автоматом /etc/init.d/ipsec почему-то не стартует, приходится вручную.

Что-то меня теперь Failed to open /dev/pts/6 и 5 засмущали... Может, в этом все дело? Эти записи начинают появляться только после запуска ipsec-демона.

Если этого недостаточно, то мож как koi8-r советует
debug network = yes
debug tunnel = yes
включить?

Liber ()
Ответ на: комментарий от thesis

А покажи, что pppd валит в /var/log/daemon

Ну, вот что там есть интересного.

Поправка: это инфа из сислога. В даемоне ничего интересного нету...

Liber ()
Ответ на: комментарий от thesis

Хотя, на всякий случай выложу. В daemon.log по pppd только вот такие записи:

Mar 18 00:00:03 debsrv xl2tpd[11051]: Terminating pppd: sending TERM signal to pid 11101
Mar 18 00:00:28 debsrv xl2tpd[11853]: start_pppd: I'm running:
Mar 18 00:00:28 debsrv xl2tpd[11853]: "/usr/sbin/pppd"
Mar 18 00:04:05 debsrv xl2tpd[11853]: Terminating pppd: sending TERM signal to pid 11903
Mar 18 00:04:11 debsrv xl2tpd[12099]: start_pppd: I'm running:
Mar 18 00:04:11 debsrv xl2tpd[12099]: "/usr/sbin/pppd"
Mar 18 00:10:59 debsrv xl2tpd[12099]: Terminating pppd: sending TERM signal to pid 12149
Mar 18 00:11:05 debsrv xl2tpd[12099]: start_pppd: I'm running:
Mar 18 00:11:05 debsrv xl2tpd[12099]: "/usr/sbin/pppd"
Mar 18 00:11:12 debsrv xl2tpd[12099]: Terminating pppd: sending TERM signal to pid 12432
Mar 18 00:11:18 debsrv xl2tpd[12525]: start_pppd: I'm running:
Mar 18 00:11:18 debsrv xl2tpd[12525]: "/usr/sbin/pppd"
Liber ()
Ответ на: комментарий от Liber

Мыслей нету пока.
Исключи пока сеть 192.168.129.0/24 из virtual_private:
virtual_private=%v4:192.168.0.0/16,%v4:!192.168.129.0/24

Навсегда оставь requires authentication = yes для xl2tpd

Насчет /dev/pts* - впиши вместо persist или demand в /etc/ppp/options nopersist, чисто пазырить.
Ну и если есть каккой-то скрипт автоподключения к провайдеру, опусти его пока, руками подключайся,

thesis ★★★★★ ()

Смонтировано ?: devpts /dev/pts
Попробуй обновить xl2tpd еще.

koi8-r ()
Ответ на: комментарий от koi8-r

Смонтировано ?: devpts /dev/pts

Да я даже не очень понимаю, что это такое ) Знаю только, что это какая-то виртуальная ФС. 5/6 - это, надо думать, «виртуальные устройства» тоннелей должны быть?

/dev/pts# l
итого 0
crw--w---- 1 root tty  136, 0 Мар 19 00:17 0
crw------- 1 root tty  136, 1 Мар 19 00:18 1
crw--w---- 1 root tty  136, 2 Мар 19 00:18 2
c--------- 1 root root   5, 2 Мар 18 05:00 ptmx

При этом openswan запущен, xl2tpd после этого перезапущен. Правда ошибки в лог почему-то не сыплются... Не знаю, в чем тут может быть причина...

Попробуй обновить xl2tpd еще.

деинсталлировать пакет и собрать последнюю версию из исходников? А с деинсталляцией потом проблем не будет?..

У меня еще пара вопросов по конфигам есть.

В /etc/xl2tpd/xl2tpd.conf

ip range = 192.168.130.240-192.168.130.250
local ip = 192.168.130.5
ip range - должен быть в пределах моей LAN подсети? Или наоборот ВНЕ ее?
local ip - это должен быть реальный ip маршрутизатора в LAN подсети? Или тот ip на который подключается клиент? Или произвольный ip подсети, в которой находится ip range (вне его пределов, разумеется)?

/etc/ipsec.d/examples/l2tp-cert.conf

virtual_private=%v4:192.168.0.0/16
...
        left=%ppp0
virtual_private должна охватывать ip range? Но реальная LAN подсеть из нее исключается?
left - это реальный ip интерфейса, на который пытается подключиться клиент?

Я вообще понять не могу, на какой стадии затык происходит. Как мне казалось, IPsec тоннель нормально устанавливается, проблемы именно при подключении по L2TP. Причем меня здорово смущала фразы в логах «Denied connection to unauthorized peer» и «Connection 29 closed to ..., port 1701 (No Authorization)». Почему запрещено соединение и пир неавторизованный? Сертификаты рассованы, чап включен, логин/пароль что у клиента, что на сервере в chap-secrets проверены стопицот раз. Я очень долго возился именно с опциями авторизации/файлами паролей, думал, что в них дело.

Сегодня не получилось подебажить с опциями

debug network = yes
debug tunnel = yes
Завтра попробуем, мож ясность появится...

Спасибо!

Liber ()
Ответ на: комментарий от thesis

Навсегда оставь requires authentication = yes для xl2tpd

Так и собирался. Значение no там появилось как раз, когда я думал, что с логином/паролем что-то не так.

Насчет /dev/pts* - впиши вместо persist или demand в /etc/ppp/options nopersist, чисто пазырить.

Хорошо! Попробую.

Ну и если есть каккой-то скрипт автоподключения к провайдеру, опусти его пока, руками подключайся

Такие есть, но они самописные (через /var/run/l2tp-control подключают) и касаются исключительно подключения к инету. Отключить не проблема - только пару флагов поставить. Тоже сделаю.

Кстати! У меня в xl2tpd.conf в lac подключении ppp debug = yes прописано. При этом довольно подробно процесс подключения в логах освещается. Тоже попробую...

Liber ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.