LINUX.ORG.RU

4
Всего сообщений: 160

Клиент L2TP/IPSec в Gentoo

Не могу настройить подключение L2TP/IPSec в Gentoo

Для PPTP установил плагин https://packages.gentoo.org/packages/net-vpn/networkmanager-pptp

Все работает нормально

Для L2TP/IPSec тоже установил плагин https://packages.gentoo.org/packages/net-vpn/networkmanager-l2tp

Не работает. При попытке пишет «Не удалось запустить службу обеспечивающую соединение»

 ,

Max77 ()

Падает второе vpn соединение

Добрый день, коллеги ни кто не сталкивался? Ситуация следующая: есть Centos 7, на нем поднят l2tp+strongswan. Делал по этой статье: https://www.dmosk.ru/instruktions.php?object=l2tpd-centos8. И как бы все работает, но есть одно но….Клиентом vpn по умолчанию является микротик,соединение поднимается и все хорошо. Но стоит только начать подключение второго клиента VPN (Windows), соединение рвется. Но, если отключить микротик и устанавливать сначала VPN из под винды-соединение поднимается и все работает. Ставил эксперимент -одновременно могут подниматься VPN на микротике и VPN на андроиде. Как только появлятся виндовс-все падает.

 , ,

gmzym ()

L2tp-туннель на Gentoo Arm64 одноплатнике не удаётся поднять соединение

Задача поднять VPN l2tp ipsec туннель с [устройства с серым IP] на [Microtik c статическим белым IP] ipsec c PSK. Пытался использовать OpenL2TP, xl2tpd, ссылка на гайд:

http://readme.campus.mephi.ru/wiki/Setup:inet:l2tpipsec:gentoo

При запуске демона жалуется на:

# rc-service openl2tpd start
 * Caching service dependencies ...                                                                [ ok ]
 * Starting rpcbind ...                                                                            [ ok ]
 * Loading l2tp module ...                                                                         [ !! ]
 * Starting openl2tpd ...                                                                          [ ok ]
Собирал модуль l2tp и модулем и в ядро вкомпиливал, всё одно.

Также пакет net-vpn/strongswan собран, но в консоли не вызывается, его нет.

Куда копать, что делать?

 ,

burato ()

l2tp vpn и локальный dnsmasq

Ситуация. Есть VPS с одним интерфейсом eth0. На интерфейсе 2 адреса. Белый x.x.x.x и приватный 192.168.2.1 На VPS крутится dnsmasq(pihole, если это важно), web сервер, xl2tpd сервер. Так же работает masquerade. Для доступа клиентов в инет. Все хорошо, туннель поднимается с адресом 172.16.255.1 Клиент получает 172.16.255.2, в инет выходит. Адрес 192.168.2.1 с клиента доступен(пингуется). Web сервер тоже доступен. Проблема, клиент не может получить доступ к dnsmasq(рабочий, проверено). Запустил tcpdump. На интерфейсе ppp0 dns от клиента есть. На eth0 тишина… Пакеты, куда-то пропадают… Помогите забороть. Есть подозрение, что я не учёл, какую-то ерунду…

 , ,

AndrK189100 ()

l2tp на FreeBSD

Приветствую. Не работает l2tp на FreeBSD 12.2. Пробую подключаться к серверу, но не подключает.

Ставил по этому ману

/var/log/racoon.log:

2021-07-30 03:27:23: INFO: @(#)ipsec-tools 0.8.2 (http://ipsec-tools.sourceforge.net)
2021-07-30 03:27:23: INFO: @(#)This product linked OpenSSL 1.1.1h-freebsd  22 Sep 2020 (http://www.openssl.org/)
2021-07-30 03:27:23: INFO: Reading configuration from "/usr/local/etc/racoon/racoon.conf"

/var/log/ppp.log: чисто

/var/log/mpd.log: чисто

Что нужно дополнительно показать и из-за чего может быть проблема?

 , , ,

continue ()

L2TP over IPsec с использованием сертификатов

Я пытаюсь сделать L2TP over IPsec vpn с использованием сертификатов, с PSK у меня все получилось.

Сертификаты делал как в этой статье: https://www.digitalocean.com/community/tutorials/how-to-set-up-an-ikev2-vpn-server-with-strongswan-on-ubuntu-20-04-ru

Мой ipsec.conf:

config setup
    charondebug="ike 1, knl 1, cfg 0"
    uniqueids=no


conn L2TPServer
        type=transport
        keyingtries=1
        left=5.63.159.153
        leftprotoport=udp/1701

#       authby=secret
        leftcert=server-cert.pem
        leftsendcert=always
        leftid=*.*.*.*
        keyexchange=ikev1
        rightrsasigkey=%cert

        right=%any
        rightprotoport=udp/%any
        auto=add

ipsec.secrets:

: RSA "server-key.pem"

Логи с ошибкой:

Apr 23 17:08:21 5-63-159-153 charon: 07[NET] received packet: from 188.170.86.198[12966] to *.*.*.*[500] (408 bytes)
Apr 23 17:08:21 5-63-159-153 charon: 07[ENC] parsed ID_PROT request 0 [ SA V V V V V V V V ]
Apr 23 17:08:21 5-63-159-153 charon: 07[ENC] received unknown vendor ID: 01:52:8b:00:00:00:01
Apr 23 17:08:21 5-63-159-153 charon: 07[IKE] received MS NT5 ISAKMPOAKLEY vendor ID
Apr 23 17:08:21 5-63-159-153 charon: 07[IKE] received NAT-T (RFC 3947) vendor ID
Apr 23 17:08:21 5-63-159-153 charon: 07[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Apr 23 17:08:21 5-63-159-153 charon: 07[IKE] received FRAGMENTATION vendor ID
Apr 23 17:08:21 5-63-159-153 charon: 07[ENC] received unknown vendor ID: fb:1d:e3:c:b7:e5:be:08:55:f1:20
Apr 23 17:08:21 5-63-159-153 charon: 07[ENC] received unknown vendor ID: 26:24:4d:38:e3:d0:cf:b8:19
Apr 23 17:08:21 5-63-159-153 charon: 07[ENC] received unknown vendor ID: e3:a5:96:6a:722:82:31:e5:ce:86:52
Apr 23 17:08:21 5-63-159-153 charon: 07[IKE] 188.170.86.198 is initiating a Main Mode IKE_SA
Apr 23 17:08:21 5-63-159-153 charon: 07[ENC] generating ID_PROT response 0 [ SA V V V V ]
Apr 23 17:08:21 5-63-159-153 charon: 07[NET] sending packet: from *.*.*.*[500] to 188.170.86.198[12966] (160 bytes)
Apr 23 17:08:21 5-63-159-153 charon: 08[NET] received packet: from 188.170.86.198[12966] to *.*.*.*[500] (228 bytes)
Apr 23 17:08:21 5-63-159-153 charon: 08[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]
Apr 23 17:08:21 5-63-159-153 charon: 08[IKE] remote host is behind NAT
Apr 23 17:08:21 5-63-159-153 charon: 08[IKE] sending cert request for "CN=VPN root CA"
Apr 23 17:08:21 5-63-159-153 charon: 08[ENC] generating ID_PROT response 0 [ KE No CERTREQ NAT-D NAT-D ]
Apr 23 17:08:21 5-63-159-153 charon: 08[NET] sending packet: from *.*.*.*[500] to 188.170.86.198[12966] (241 bytes)
Apr 23 17:08:21 5-63-159-153 charon: 09[NET] received packet: from 188.170.86.198[12966] to *.*.*.*[500] (408 bytes)
Apr 23 17:08:21 5-63-159-153 charon: 09[ENC] parsed ID_PROT request 0 [ SA V V V V V V V V ]
Apr 23 17:08:21 5-63-159-153 charon: 09[ENC] received unknown vendor ID: 01:52:8b:bb:96:129:ab:9a:1c:5b
Apr 23 17:08:21 5-63-159-153 charon: 09[IKE] received MS NT5 ISAKMPOAKLEY vendor ID
Apr 23 17:08:21 5-63-159-153 charon: 09[IKE] received NAT-T (RFC 3947) vendor ID
Apr 23 17:08:21 5-63-159-153 charon: 09[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Apr 23 17:08:21 5-63-159-153 charon: 09[IKE] received FRAGMENTATION vendor ID
Apr 23 17:08:21 5-63-159-153 charon: 09[ENC] received unknown vendor ID: fb:1d:e3:cd:f3:41:be:08:55:f1:20
Apr 23 17:08:21 5-63-159-153 charon: 09[ENC] received unknown vendor ID: 26:24:4d:38:ed:db:63:d0:cf:b8:19
Apr 23 17:08:21 5-63-159-153 charon: 09[ENC] received unknown vendor ID: e3:a5:96:6a:76:37:9f:e7e5:ce:86:52
Apr 23 17:08:21 5-63-159-153 charon: 09[IKE] 188.170.86.198 is initiating a Main Mode IKE_SA
Apr 23 17:08:21 5-63-159-153 charon: 09[ENC] generating ID_PROT response 0 [ SA V V V V ]
Apr 23 17:08:21 5-63-159-153 charon: 09[NET] sending packet: from *.*.*.*[500] to 188.170.86.198[12966] (160 bytes)
Apr 23 17:08:21 5-63-159-153 charon: 10[NET] received packet: from 188.170.86.198[20725] to *.*.*.*[4500] (92 bytes)
Apr 23 17:08:21 5-63-159-153 charon: 10[ENC] parsed INFORMATIONAL_V1 request 2213899583 [ HASH N((28)) ]
Apr 23 17:08:21 5-63-159-153 charon: 10[IKE] received (28) error notify
Apr 23 17:08:21 5-63-159-153 charon: 11[NET] received packet: from 188.170.86.198[12966] to *.*.*.*[500] (228 bytes)
Apr 23 17:08:21 5-63-159-153 charon: 11[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]
Apr 23 17:08:21 5-63-159-153 charon: 11[IKE] remote host is behind NAT
Apr 23 17:08:21 5-63-159-153 charon: 11[IKE] sending cert request for "CN=VPN root CA"
Apr 23 17:08:21 5-63-159-153 charon: 11[ENC] generating ID_PROT response 0 [ KE No CERTREQ NAT-D NAT-D ]
Apr 23 17:08:21 5-63-159-153 charon: 11[NET] sending packet: from *.*.*.* [500] to 188.170.86.198[12966] (241 bytes)
Apr 23 17:08:21 5-63-159-153 charon: 12[NET] received packet: from 188.170.86.198[20725] to *.*.*.*[4500] (92 bytes)
Apr 23 17:08:21 5-63-159-153 charon: 12[ENC] parsed INFORMATIONAL_V1 request 1129329395 [ HASH N((28)) ]
Apr 23 17:08:21 5-63-159-153 charon: 12[IKE] received (28) error notify

Я просто не понимаю где у меня ошибка, просто какой-то error notify.

Еще не понимаю какой тип данных для входа выбирать на винде в vpn подключениях, логин и пароль или сертификат, я выбираю логин и пароль, ведь вход у меня идет черех секреты в xl2tpd.

 , , ,

ookawaiikoto ()

OpenWRT и l2tp(beeline)

Добрый день, разъясните ситуевину: OpenWRT на роутере,xl2tpd поднят, провайдер билан. На компе качает торрент, судя по всему на весь канал(3,5 миб\с) и периодически падает инет и через время сам поднимается. Роутер выдает следующее:
Средняя загрузка 0.74, 0.37, 0.19 (4 потока)

Tue Apr  6 18:17:25 2021 daemon.notice netifd: wan (1490): udhcpc: sending renew to 213.33.252.49
Tue Apr  6 18:19:56 2021 daemon.notice netifd: wan (1490): udhcpc: sending renew to 213.33.252.49
Tue Apr  6 18:21:11 2021 daemon.notice netifd: wan (1490): udhcpc: sending renew to 213.33.252.49
Tue Apr  6 18:21:48 2021 daemon.notice netifd: wan (1490): udhcpc: sending renew to 0.0.0.0
Tue Apr  6 18:22:14 2021 daemon.notice netifd: wan (1490): udhcpc: sending renew to 0.0.0.0
Tue Apr  6 18:22:27 2021 daemon.notice netifd: wan (1490): udhcpc: sending renew to 0.0.0.0
Tue Apr  6 18:22:33 2021 daemon.notice netifd: wan (1490): udhcpc: sending renew to 0.0.0.0
Tue Apr  6 18:22:35 2021 daemon.notice netifd: wan (1490): udhcpc: sending renew to 0.0.0.0
Tue Apr  6 18:22:36 2021 daemon.notice netifd: wan (1490): udhcpc: sending renew to 0.0.0.0
Tue Apr  6 18:22:36 2021 daemon.notice netifd: wan (1490): udhcpc: lease lost, entering init state
Tue Apr  6 18:22:36 2021 daemon.notice netifd: Interface 'wan' has lost the connection
Tue Apr  6 18:22:36 2021 daemon.notice netifd: Interface 'Beeline' has lost the connection
Tue Apr  6 18:22:36 2021 daemon.warn dnsmasq[1917]: no servers found in /tmp/resolv.conf.auto, will retry
Tue Apr  6 18:22:36 2021 daemon.info xl2tpd[1641]: Disconnecting from 10.255.255.245, Local: 1562, Remote: 17805
Tue Apr  6 18:22:36 2021 daemon.err xl2tpd[1641]: udp_xmit failed to 10.255.255.245:1701 with err=-1:Network unreachable
Tue Apr  6 18:22:36 2021 daemon.debug xl2tpd[1641]: Terminating pppd: sending TERM signal to pid 4088
Tue Apr  6 18:22:36 2021 daemon.info xl2tpd[1641]: Connection 17805 closed to 10.255.255.245, port 1701 (Goodbye!)
Tue Apr  6 18:22:36 2021 daemon.info pppd[4088]: Terminating on signal 15
Tue Apr  6 18:22:36 2021 daemon.info pppd[4088]: Connect time 15.1 minutes.
Tue Apr  6 18:22:36 2021 daemon.info pppd[4088]: Sent 119023694 bytes, received 3203198839 bytes.
Tue Apr  6 18:22:36 2021 daemon.notice netifd: Network device 'l2tp-Beeline' link is down
Tue Apr  6 18:22:36 2021 daemon.notice pppd[4088]: Connection terminated.
Tue Apr  6 18:22:36 2021 daemon.info pppd[4088]: Exit.
Tue Apr  6 18:22:37 2021 daemon.err xl2tpd[1641]: udp_xmit failed to 10.255.255.245:1701 with err=-1:Network unreachable
Tue Apr  6 18:22:37 2021 daemon.notice netifd: Interface 'Beeline' is now down
Tue Apr  6 18:22:37 2021 daemon.notice netifd: Interface 'Beeline' is setting up now
Tue Apr  6 18:22:39 2021 daemon.err xl2tpd[1641]: udp_xmit failed to 10.255.255.245:1701 with err=-1:Network unreachable
Tue Apr  6 18:22:41 2021 daemon.notice netifd: wan (1490): udhcpc: sending select for 100.64.***.144
Tue Apr  6 18:22:42 2021 daemon.notice netifd: wan (1490): udhcpc: lease of 100.64.***.144 obtained, lease time 600
Tue Apr  6 18:22:42 2021 daemon.notice netifd: Interface 'wan' is now up
Tue Apr  6 18:22:42 2021 daemon.info dnsmasq[1917]: reading /tmp/resolv.conf.auto
Tue Apr  6 18:22:42 2021 daemon.info dnsmasq[1917]: using local addresses only for domain test
Tue Apr  6 18:22:42 2021 daemon.info dnsmasq[1917]: using local addresses only for domain onion
Tue Apr  6 18:22:42 2021 daemon.info dnsmasq[1917]: using local addresses only for domain localhost
Tue Apr  6 18:22:42 2021 daemon.info dnsmasq[1917]: using local addresses only for domain local
Tue Apr  6 18:22:42 2021 daemon.info dnsmasq[1917]: using local addresses only for domain invalid
Tue Apr  6 18:22:42 2021 daemon.info dnsmasq[1917]: using local addresses only for domain bind
Tue Apr  6 18:22:42 2021 daemon.info dnsmasq[1917]: using local addresses only for domain lan
Tue Apr  6 18:22:42 2021 daemon.info dnsmasq[1917]: using nameserver 8.8.8.8#53
Tue Apr  6 18:22:42 2021 daemon.info dnsmasq[1917]: using nameserver 77.88.8.8#53
Tue Apr  6 18:22:42 2021 daemon.info dnsmasq[1917]: using nameserver 213.221.63.214#53
Tue Apr  6 18:22:42 2021 user.notice firewall: Reloading firewall due to ifup of wan (eth0.2)
Tue Apr  6 18:22:42 2021 daemon.notice netifd: Beeline (4323): Could not resolve server address
Tue Apr  6 18:22:47 2021 daemon.debug xl2tpd[1641]: No such tunnel 'l2tp-Beeline'
Tue Apr  6 18:22:47 2021 daemon.notice netifd: Beeline (4448): xl2tpd-control: Remove l2tp-Beeline failed
Tue Apr  6 18:22:47 2021 daemon.notice netifd: Interface 'Beeline' is now down
Tue Apr  6 18:22:47 2021 daemon.notice netifd: Interface 'Beeline' is setting up now
Tue Apr  6 18:22:47 2021 daemon.notice xl2tpd[1641]: Connecting to host tp.internet.beeline.ru, port 1701
Tue Apr  6 18:22:47 2021 daemon.notice xl2tpd[1641]: Connection established to 10.255.255.254, 1701.  Local: 58221, Remote: 31607 (ref=0/0).
Tue Apr  6 18:22:47 2021 daemon.notice xl2tpd[1641]: Calling on tunnel 58221
Tue Apr  6 18:22:47 2021 daemon.notice xl2tpd[1641]: Call established with 10.255.255.254, Local: 45753, Remote: 10343, Serial: 6 (ref=0/0)
Tue Apr  6 18:22:47 2021 daemon.debug xl2tpd[1641]: start_pppd: I'm running:
Tue Apr  6 18:22:47 2021 daemon.debug xl2tpd[1641]: "/usr/sbin/pppd"
Tue Apr  6 18:22:47 2021 daemon.debug xl2tpd[1641]: "plugin"
Tue Apr  6 18:22:47 2021 daemon.debug xl2tpd[1641]: "pppol2tp.so"
Tue Apr  6 18:22:47 2021 daemon.debug xl2tpd[1641]: "pppol2tp"
Tue Apr  6 18:22:47 2021 daemon.debug xl2tpd[1641]: "8"
Tue Apr  6 18:22:47 2021 daemon.debug xl2tpd[1641]: "passive"
Tue Apr  6 18:22:47 2021 daemon.debug xl2tpd[1641]: "nodetach"
Tue Apr  6 18:22:47 2021 daemon.debug xl2tpd[1641]: ":"
Tue Apr  6 18:22:47 2021 daemon.debug xl2tpd[1641]: "file"
Tue Apr  6 18:22:47 2021 daemon.debug xl2tpd[1641]: "/tmp/l2tp/options.Beeline"
Tue Apr  6 18:22:47 2021 daemon.info pppd[4470]: Plugin pppol2tp.so loaded.
Tue Apr  6 18:22:47 2021 daemon.notice pppd[4470]: pppd 2.4.7 started by root, uid 0
Tue Apr  6 18:22:47 2021 kern.info kernel: [ 3691.392347] l2tp-Beeline: renamed from ppp0
Tue Apr  6 18:22:47 2021 daemon.info pppd[4470]: Renamed interface ppp0 to l2tp-Beeline
Tue Apr  6 18:22:47 2021 daemon.info pppd[4470]: Using interface l2tp-Beeline
Tue Apr  6 18:22:47 2021 daemon.notice pppd[4470]: Connect: l2tp-Beeline <-->
Tue Apr  6 18:22:47 2021 daemon.info pppd[4470]: CHAP authentication succeeded
Tue Apr  6 18:22:47 2021 daemon.notice pppd[4470]: CHAP authentication succeeded
Tue Apr  6 18:22:47 2021 daemon.notice pppd[4470]: local  IP address 2.95.***.244
Tue Apr  6 18:22:47 2021 daemon.notice pppd[4470]: remote IP address 194.186.120.158
Tue Apr  6 18:22:47 2021 daemon.notice pppd[4470]: primary   DNS address 213.221.63.211
Tue Apr  6 18:22:47 2021 daemon.notice pppd[4470]: secondary DNS address 213.221.63.214
Tue Apr  6 18:22:47 2021 daemon.notice netifd: Network device 'l2tp-Beeline' link is up
Tue Apr  6 18:22:47 2021 daemon.notice netifd: Interface 'Beeline' is now up

Я ничего не понял. Скажите это проблемы роутера или билан(их маршрутизатор) меня переотрубает по нагрузке?

 , ,

Tavols ()

Подключение l2tp

Подскажите, пожалуйста, как подключить интернет через l2tp. Линукс минт 20.1 Cinnamon. Провайдер Билайн. В винде настройка через мастер без проблем. С телефона через USB без проблем(собственно с него и зашел). После ввода всех настроек, паролей пишет что соединение успешно. Секунд через 30 сообщение «Произошел сбой подключения, так как не удалось запустит службу VPN». Сориентируйте где, куда, чего смотреть?

 ,

pestifer ()

Использовать VPN только для ресурсов её сети

Подскажите как победить корпоративных администраторов при подключении к корпоративному VPN и заставить использовать VPN только для тех ресурсов, которые внутри VNP?

Дано:

  • Arch Linux
  • l2tp
  • KDE
  • NetworkManager

До подключения VPN:

route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.1.1     0.0.0.0         UG    100    0        0 enp0s31f6
192.168.1.0     0.0.0.0         255.255.255.0   U     100    0        0 enp0s31f6

После подключения VPN:

route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         0.0.0.0         0.0.0.0         U     50     0        0 ppp0
0.0.0.0         192.168.1.1     0.0.0.0         UG    100    0        0 enp0s31f6
10.0.102.1      0.0.0.0         255.255.255.255 UH    50     0        0 ppp0
188.65.107.46   192.168.1.1     255.255.255.255 UGH   100    0        0 enp0s31f6
192.168.1.0     0.0.0.0         255.255.255.0   U     100    0        0 enp0s31f6
192.168.1.1     0.0.0.0         255.255.255.255 UH    100    0        0 enp0s31f6

При это весь интернет-трафик начинает маршрутизироваться через VPN:

traceroute google.com
traceroute to google.com (173.194.73.101), 30 hops max, 60 byte packets
 1  10.0.102.1 (10.0.102.1)  2.353 ms  3.085 ms  3.085 ms
 2  41.107.rekkon.ru (188.65.107.41)  5.219 ms  5.368 ms  5.549 ms
 3  10.80.202.9 (10.80.202.9)  3.287 ms  3.238 ms  3.262 ms
 4  rascom.inet2.ru (85.112.122.13)  3.301 ms  3.577 ms  3.596 ms
 5  google-gw.rascom.as20764.net (81.27.254.18)  3.740 ms  3.762 ms  3.710 ms
 6  108.170.250.99 (108.170.250.99)  4.665 ms  3.560 ms 108.170.250.146 (108.170.250.146)  2.847 ms
 7  216.239.50.132 (216.239.50.132)  18.863 ms 209.85.249.158 (209.85.249.158)  19.732 ms *

Если же в настройках NM поствить Use only for resources on this connection, то:

route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.1.1     0.0.0.0         UG    100    0        0 enp0s31f6
10.0.102.1      0.0.0.0         255.255.255.255 UH    50     0        0 ppp0
188.65.107.46   192.168.1.1     255.255.255.255 UGH   100    0        0 enp0s31f6
192.168.1.0     0.0.0.0         255.255.255.0   U     100    0        0 enp0s31f6
192.168.1.1     0.0.0.0         255.255.255.255 UH    100    0        0 enp0s31f6

интернет-трафки начинает тормозить, но маршрутизироваться через локальное соединение, а корпоративные ресурсы отваливаются.

У меня есть подозрение, что это происходит из-за того, что DNS не работает. VPN подсовывает два сервера:

$ cat /etc/resolv.conf
# Generated by NetworkManager
nameserver 10.0.0.2
nameserver 10.10.0.2
nameserver 192.168.1.1

До которых с текущей таблицей маршрутизации мы идём через локальную сеть, хотя должны использовать ppp0:

$ traceroute 10.0.0.2
traceroute to 10.0.0.2 (10.0.0.2), 30 hops max, 60 byte packets
 1  _gateway (192.168.1.1)  0.497 ms  0.468 ms  0.452 ms
 2  * * *

Итого вопрос: **как сказать NM «маршрутизируй полученные при VPN-соединении DNS-сервера через эту же самую VPN-сеть»?

Ну или же как-то иначе подойти к решению задачи?

 , , , ,

omegatype ()

Соединение по l2tp c beeline

Во-первых, c сайта beeline :

tp.internet.beeline.ru - для подключения по протоколу L2TP.
IP-адрес, маршруты, шлюз по умолчанию (Default Gateway), сервер доменных имен (DNS) - ваш компьютер или маршрутизатор получает по протоколу DHCP.
Для доступа к интернету используется VPN-подключение по L2TP- (без IPsec) или PPTP- протоколам.

Во-вторых, мои конфиги xl2tpd:

  • /etc/xl2tpd/xl2tpd.conf
    [global]
    access control = yes
    
    [lac beeline]
    lns = tp.internet.beeline.ru;
    pppoptfile = /etc/ppp/options.xl2tpd;
    autodial = yes;
    redial = yes;
    redial timeout = 10;
    require chap = yes;
    require pap = no;
    refuse chap = no;
    refuse pap = yes;
    name = login;
    [/cut]
    
  • /etc/ppp/options.xl2tpd
    unit 0
    remotename beeline
    mru 1460
    mtu 1460
    noaccomp
    nopcomp
    novj
    novjccomp
    nobsdcomp
    nodeflate
    noipx
    nomp
    defaultroute
    name login
    
  • /etc/ppp/chap-secrets
    # Secrets for authentication using CHAP
    # client	server	secret			IP addresses
    login		*	password		*
    

В-третьих, dhcp работает, и при подключении кабеля появляется:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.250.48.1     0.0.0.0         UG    202    0        0 eth0
10.250.48.0     0.0.0.0         255.255.248.0   U     202    0        0 eth0
85.21.78.93     10.250.48.1     255.255.255.255 UGH   202    0        0 eth0
В-четвертых, после запуска xl2tpd имею:
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.250.48.1     0.0.0.0         UG    202    0        0 enp1s0
10.250.48.0     0.0.0.0         255.255.248.0   U     202    0        0 enp1s0
85.21.78.93     10.250.48.1     255.255.255.255 UGH   202    0        0 enp1s0
89.179.75.100   0.0.0.0         255.255.255.255 UH    0      0        0 ppp0

Итог: пингуются только 85.21.78.93 и 89.179.75.100.

Вопросы:

  • Где искать лог xl2tpd?
  • Чяднт?

 , ,

n0name_anonymous ()

Проблемы с поднятием L2tp ipsec Fedora

Доброго времени суток! Можно сказать, только начинаю осваивать линукс. И появилась необходимость поднять l2tp ipsec сервер на fedore. Настроил, но коннект не происходит. Причем вроде указал, что-бы был лог при подключениях, но файл пустой и понять, где затык, куда копать - не могу. Ip связность с сервером есть. Iptable, firewallD выключены. Конфиг файлы будут внизу. Подскажите, куда копать?

Службы strongswan и xl2tpd в работе. в выводе «sudo netstat -tulpn» присутствует запись вида udp 0.0.0.0:1701

Выводы конфиг файлов:

/etc/ipsec.conf

virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v4:100.64.0.0/10,%v6:fd00::/8,%v6:fe80::/10
protostack=netkey
conn l2tpvpn type=transport
authby=secret
pfs=no
rekey=no
keyingtries=2
left=%any leftprotoport=udp/l2tp
leftid=l2tpvpnserver
right=%any
rightprotoport=udp/%any
auto=add

/etc/ipsec.secrets

%any %any : PSK "*******"

/etc/xl2tpd/xl2tpd.conf

[global]
port = 1701
access control = no
ipsec saref = yes
force userspace = yes
auth file = /etc/ppp/chap-secrets

[lns default]
ip range = 172.31.255.210-172.31.255.220
local ip = 172.31.255.1
name = l2tpserver
pppoptfile = /etc/ppp/options.xl2tpd
flow bit = yes
exclusive = no
hidden bit = no
length bit = yes
require authentication = yes
require chap = yes
refuse pap = yes

/etc/ppp/options.xl2tpd

noccp
auth
crtscts
mtu 1410
mru 1410
nodefaultroute
lock
noproxyarp
silent
modem
asyncmap 0
hide-password
require-mschap-v2
ms-dns 8.8.4.4
ms-dns 8.8.8.8 logfile /var/log/xl2tpd/xl2tpd.log debug

/etc/ppp/chap-secrets

"user" l2tpserver "pass" *

 , , ,

Viktorbgp ()

FreeIPA LDAP+TOTP + RADIUS + Mikrotik возможно?

Привет, ЛОР!

Есть L2TP/IPSec сервер на Микротике. Внутри локалки есть LDAP на базе FreeIPA. Хочу к VPN подключаться с учётками LDAP, только усилить их TOTP от FreeIPA (надо будет рулить возможностью подключаться к VPN на основе групп и оч мне нравится что юзер может сам себе добавить TOTP из своего «ЛК»,).

Насколько я понимаю, для этого всего нужен RADIUS. Я развернул FreeRADIUS, который смотрит учётки в LDAP (FreeIPA) и отдаёт их Микротику. Но т.к. клиент RADIUS в Микротике умеет только MS-CHAPv2, то я вынужден во FreeIPA добавить NT-hash для пароля.

Теперь это всё работает так:

  • Юзер ломится в Микротик;
  • Микротик стучится в RADIUS;
  • RADIUS смотрит в LDAP, видит там учётку и пароль NT-hash;
  • Юзер проходит аутентификацию в RADIUS
  • Микротик пускает в VPN

Если втупую приписать к этому ещё и TOTP, то, понятно дело, ничего не заработает.

Можно ли как-то приделать TOTP к этой конструкции? Если нет, то может быть для достижения этой цели можно развернуть standalone сервер L2TP/IPSec (strongSwan или что-то ещё) на чём-то с такой аутентификацией?

В систему-клиент-IPA я могу ходить по password+TOTP, т.е. TOTP я настроил корректно.

Даже вот переделал специально пароли на CLEARTEXT в LDAP, чтобы оно там могло спокойно модифицировать как нужно. Всё равно не срабатывает TOTP при логине в VPN.

CentOS 8.2; FreeIPA 4.8.4; FreeRADIUS 3.0.17; RouterOS 6.47

 , ,

kma21 ()

MTU за роутером L2TP

Здравствуйте, есть домашний роутер Zyxel Keenetic II подключен к провайдеру по L2TP, за ним другой маршрутизатор (гигабитный) N ETGEAR с прошивкой OpenWRT.

Сеть имеет такой вид:

Итренет --> L2TP --> Zyxel Keenetic II --> DMZ -> NETGEAR -> LAN

т.е. Zyxel перенаравляет все входящие порты (DMZ зона) на NETGEAR (гигабитный маршик) в сам нетгир подключены компы.

На одном из компов стоит почтовик и когда интернет был подключен напрямую в NetGear все было хорошо, но сейчас некоторые письма не доходят в postfix такая ошибка:

timeout after DATA (0 bytes) from 

В интернете пишут, проблема из-за MTU. Подскажите как расчитать MTU для NETGEAR ?

 , , , ,

dirsex ()

IPSEC/L2TP соединение: не доходит до ppp авторизации

Доброго дня, Коллеги.

После обновления до Fedora 32 перестало подключаться одно VPN-соединение. Сложности были на всем пути, но в итоге что-то не то происходит на этапе pppd.

Вводные данные: Подключаемся к довольно старому vpn-серверу (циска или винда). L2TP/IPSEC. Авторизация через PSK (IKE первой версии, v2 сервером не поддерживается), плюс «доменная» авторизация через MsChapV2 (обычные PAP и CHAP по словам администраторов отключены). Первая фаза - 3des-sha1-modp1024, вторая - 3des-sha1.

Настраивается все это сейчас через NetworkManager (т.к. было настроено в 30ой версии федоры и работало)

«Рекомендуемый» libreswan в 32ой федоре сразу сдался из-за выпиливания федорой поддержки modp1024 из него. Переключился на strongswan. Отмечу, что откат до libreswan<3.30 в итоге приводит к идентичному результату - валюсь на этапе pppd.

Если я правильно понимаю происходящее в логах, то запускается pppd, но до авторизации дело не доходит - появляется sigint. Для меня не очевидны два момента:

  1. Кто посылает sigint - pppd или x2ltpd?
  2. Как можно подойти ближе к пониманию причины ситуации, что ppp0 поднимается, но отваливается до начала авторизации.

Полный лог попытки соединения (снизу вверх)

May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.3024] device[800d0c3c21317646] (p2p-dev-wlp4s0): add_pending_action (1): 'autoactivate'
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.3017] active-connection[0x560cc2eb84d0]: disposing
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.2983] agent-manager: agent[cbcd65a1dac75a5b,:1.536/nmcli-connect/0]: agent unregistered or disappeared
May 31 13:03:04 raypad NetworkManager[91583]: <info>  [1590919384.2855] vpn-connection[0x560cc2eb84d0,f054844c-70c6-45f1-8d1c-ecc1127a188b,"vpn-con",0]: VPN service disappeared
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.2806] device[05a75d3145659c6b] (wlp4s0): remove_pending_action (0): 'activation-13'
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.2805] active-connection[0x560cc2eb84d0]: check-master-ready: not signalling (state deactivated, no master)
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.2800] active-connection[0x560cc2eb84d0]: set state deactivated (was activating)
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.2794] ++ vpn.secrets               = ((GHashTable*) 0x560cc2e4b360) < ((GHashTable*) 0x560cc2e604c0)
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.2793] ++ vpn                       [ 0x560cc2e4b1c0 < 0x560cc2e3c740 ]
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.2793] ++ connection 'update connection' (0x560cc2e48640/NMSimpleConnection/"vpn" < 0x560cc2da1700/NMSimpleConnection/"vpn") [/org/freedesktop/NetworkManager/Settings/9]:
May 31 13:03:04 raypad NetworkManager[91583]: <info>  [1590919384.2759] vpn-connection[0x560cc2eb84d0,f054844c-70c6-45f1-8d1c-ecc1127a188b,"vpn-con",0]: VPN plugin: state changed: stopped (6)
May 31 13:03:04 raypad nm-l2tp-service[166256]: ipsec shut down
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.1980] platform-linux: udev-remove: IFINDEX=44
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.1980] platform-linux: UDEV event: action 'remove' subsys 'net' device 'ppp0' (44); seqnum=5494
May 31 13:03:04 raypad ipsec_starter[166326]: ipsec starter stopped
May 31 13:03:04 raypad ipsec_starter[166326]: charon stopped after 200 ms
May 31 13:03:04 raypad ipsec_starter[166326]: 
May 31 13:03:04 raypad ipsec_starter[166326]: child 166327 (charon) has quit (exit code 0)
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.1794] platform-linux: UDEV event: action 'add' subsys 'net' device 'ppp0' (44); seqnum=5489
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.1779] platform: signal: rt-rule removed: [6] 220: from all lookup 220
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.1778] platform: signal: rt-rule removed: [4] 220: from all lookup 220
May 31 13:03:04 raypad pppd[166406]: Exit.
May 31 13:03:04 raypad charon[166327]: 00[NET] sending packet: from RIGHT_IP[4500] to LEFT_IP[4500] (84 bytes)
May 31 13:03:04 raypad charon[166327]: 00[ENC] generating INFORMATIONAL_V1 request 4280929317 [ HASH D ]
May 31 13:03:04 raypad charon[166327]: 00[IKE] sending DELETE for IKE_SA f054844c-70c6-45f1-8d1c-ecc1127a188b[1]
May 31 13:03:04 raypad charon[166327]: 00[IKE] deleting IKE_SA f054844c-70c6-45f1-8d1c-ecc1127a188b[1] between RIGHT_IP[RIGHT_IP]...LEFT_IP[IP_NAT (сервер за натом)]
May 31 13:03:04 raypad charon[166327]: 00[IKE] deleting IKE_SA f054844c-70c6-45f1-8d1c-ecc1127a188b[1] between RIGHT_IP[RIGHT_IP]...LEFT_IP[IP_NAT (сервер за натом)]
May 31 13:03:04 raypad charon[166327]: 00[NET] sending packet: from RIGHT_IP[4500] to LEFT_IP[4500] (76 bytes)
May 31 13:03:04 raypad charon[166327]: 00[ENC] generating INFORMATIONAL_V1 request 3217116315 [ HASH D ]
May 31 13:03:04 raypad charon[166327]: 00[IKE] sending DELETE for ESP CHILD_SA with SPI c1a5b0bf
May 31 13:03:04 raypad charon[166327]: 00[IKE] closing CHILD_SA f054844c-70c6-45f1-8d1c-ecc1127a188b{1} with SPIs c1a5b0bf_i (301 bytes) 6abf7b74_o (388 bytes) and TS RIGHT_IP/32[udp/l2tp] === LEFT_IP/32[udp/l2tp]
May 31 13:03:04 raypad audit: MAC_IPSEC_EVENT op=SAD-delete auid=4294967295 ses=4294967295 subj=system_u:system_r:ipsec_t:s0 src=RIGHT_IP dst=LEFT_IP spi=1790933876(0x6abf7b74) res=1
May 31 13:03:04 raypad audit: MAC_IPSEC_EVENT op=SAD-delete auid=4294967295 ses=4294967295 subj=system_u:system_r:ipsec_t:s0 src=LEFT_IP dst=RIGHT_IP spi=3248861375(0xc1a5b0bf) res=1
May 31 13:03:04 raypad audit: MAC_IPSEC_EVENT op=SPD-delete auid=4294967295 ses=4294967295 subj=system_u:system_r:ipsec_t:s0 res=1 src=LEFT_IP dst=RIGHT_IP
May 31 13:03:04 raypad audit: MAC_IPSEC_EVENT op=SPD-delete auid=4294967295 ses=4294967295 subj=system_u:system_r:ipsec_t:s0 res=1 src=RIGHT_IP dst=LEFT_IP
May 31 13:03:04 raypad charon[166327]: 00[IKE] closing CHILD_SA f054844c-70c6-45f1-8d1c-ecc1127a188b{1} with SPIs c1a5b0bf_i (301 bytes) 6abf7b74_o (388 bytes) and TS RIGHT_IP/32[udp/l2tp] === LEFT_IP/32[udp/l2tp]
May 31 13:03:04 raypad charon[166327]: 00[DMN] signal of type SIGINT received. Shutting down
May 31 13:03:04 raypad NetworkManager[166411]: Stopping strongSwan IPsec...
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.1666] device[5287dbe269e131db] (ppp0): finalize(): NMDevicePpp
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.1665] device[5287dbe269e131db] (ppp0): ip6-config: update (commit=1, new-config=(nil))
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.1665] device[5287dbe269e131db] (ppp0): ip4-config: update (commit=1, new-config=(nil))
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.1665] device[5287dbe269e131db] (ppp0): disposing
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.1663] device[5287dbe269e131db] (ppp0): ip6-config: update (commit=0, new-config=(nil))
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.1663] device[5287dbe269e131db] (ppp0): ip4-config: update (commit=0, new-config=(nil))
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.1663] manager: (ppp0): removing device (managed 0, wol 0)
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.1661] device[05a75d3145659c6b] (wlp4s0): ip4-config: update (commit=0, new-config=0x560cc2d6fe90)
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.1657] device[5287dbe269e131db] (ppp0): state change: unmanaged -> unmanaged (reason 'unmanaged', sys-iface-state: 'removed')
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.1656] device[5287dbe269e131db] (ppp0): unmanaged: flags set to [platform-init,!sleeping=0x10/0x11/unmanaged/unrealized], forget [parent,by-type,user-explicit,user-udev,external-down,is-slave=0x1c2c])
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.1655] device[5287dbe269e131db] (ppp0): unrealize (ifindex 44)
May 31 13:03:04 raypad NetworkManager[91583]: <info>  [1590919384.1654] vpn-connection[0x560cc2eb84d0,f054844c-70c6-45f1-8d1c-ecc1127a188b,"vpn-con",0]: VPN plugin: state changed: stopping (5)
May 31 13:03:04 raypad NetworkManager[91583]: <warn>  [1590919384.1654] vpn-connection[0x560cc2eb84d0,f054844c-70c6-45f1-8d1c-ecc1127a188b,"vpn-con",0]: VPN plugin: failed: connect-failed (1)
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.1652] device[05a75d3145659c6b] (wlp4s0): queued IP4 config change
May 31 13:03:04 raypad NetworkManager[166392]: xl2tpd[166392]: death_handler: Fatal signal 15 received
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.1652] platform: (wlp4s0) signal: address 4 changed: RIGHT_IP/24 lft 83408sec pref 83408sec lifetime 2996-356[86048,86048] dev 4 flags noprefixroute src kernel
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.1651] platform: signal: link removed: 44: ppp0 <NOARP,DOWN;pointopoint,multicast,noarp> mtu 1500 arp 512 ppp* not-init addrgenmode eui64 driver ppp rx:0,0 tx:0,0
May 31 13:03:04 raypad charon[166327]: 08[KNL] interface ppp0 deleted
May 31 13:03:04 raypad pppd[166406]: Connection terminated.
May 31 13:03:04 raypad pppd[166406]: Modem hangup
May 31 13:03:04 raypad pppd[166406]: Terminating on signal 15
May 31 13:03:04 raypad NetworkManager[166392]: xl2tpd[166392]: control_finish: Connection closed to LEFT_IP, serial 1 ()
May 31 13:03:04 raypad systemd-udevd[166409]: ethtool: autonegotiation is unset or enabled, the speed and duplex are not writable.
May 31 13:03:04 raypad NetworkManager[91583]: <info>  [1590919384.1566] manager: (ppp0): new Ppp device (/org/freedesktop/NetworkManager/Devices/18)
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.1564] device[5287dbe269e131db] (ppp0): unmanaged: flags set to [platform-init,external-down,!sleeping,!by-type=0x810/0x819/unmanaged/unrealized], set-managed [sleeping=0x1])
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.1563] device[5287dbe269e131db] (ppp0): unmanaged: flags set to [platform-init,external-down,!by-type=0x810/0x818/unmanaged/unrealized], set-managed [by-type=0x8])
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.1563] device[5287dbe269e131db] (ppp0): unmanaged: flags set to [platform-init,external-down=0x810/0x810/unmanaged/unrealized], set-unmanaged [external-down=0x800])
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.1563] platform-linux: error reading net:/sys/class/net/ppp0/device/sriov_totalvfs: Failed to open file "device/sriov_totalvfs" with openat: No such file or directory
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.1561] platform-linux: error reading net:/sys/class/net/ppp0/phys_port_id: error reading 4096 bytes from file descriptor: Operation not supported
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.1560] device[5287dbe269e131db] (ppp0): start setup of NMDevicePpp, kernel ifindex 44
May 31 13:03:04 raypad pppd[166406]: Connect: ppp0 <--> /dev/pts/28
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.1560] device[5287dbe269e131db] (ppp0): constructed (NMDevicePpp)
May 31 13:03:04 raypad NetworkManager[91583]: <debug> [1590919384.1559] platform: (ppp0) signal: link   added: 44: ppp0 <NOARP,DOWN;pointopoint,multicast,noarp> mtu 1500 arp 512 ppp* not-init addrgenmode eui64 driver ppp rx:0,0 tx:0,0
May 31 13:03:04 raypad pppd[166406]: Using interface ppp0
May 31 13:03:04 raypad pppd[166406]: pppd 2.4.7 started by root, uid 0
May 31 13:03:04 raypad pppd[166406]: Plugin /usr/lib64/pppd/2.4.7/nm-l2tp-pppd-plugin.so loaded.
May 31 13:03:04 raypad NetworkManager[166392]: xl2tpd[166392]: Call established with LEFT_IP, Local: 36228, Remote: 2, Serial: 1 (ref=0/0)
May 31 13:03:04 raypad NetworkManager[166392]: xl2tpd[166392]: Calling on tunnel 43375
May 31 13:03:04 raypad NetworkManager[166392]: xl2tpd[166392]: Connection established to LEFT_IP, 1701.  Local: 43375, Remote: 7094 (ref=0/0).
May 31 13:03:04 raypad NetworkManager[166392]: xl2tpd[166392]: Connecting to host LEFT_IP, port 1701
May 31 13:03:04 raypad NetworkManager[166392]: xl2tpd[166392]: Listening on IP address 0.0.0.0, port 1701
May 31 13:03:04 raypad NetworkManager[166392]: xl2tpd[166392]: Forked again by Xelerance (www.xelerance.com) (C) 2006-2016
May 31 13:03:04 raypad NetworkManager[166392]: xl2tpd[166392]: Inherited by Jeff McAdams, (C) 2002
May 31 13:03:04 raypad NetworkManager[166392]: xl2tpd[166392]: Forked by Scott Balmos and David Stipp, (C) 2001
May 31 13:03:04 raypad NetworkManager[166392]: xl2tpd[166392]: Written by Mark Spencer, Copyright (C) 1998, Adtran, Inc.
May 31 13:03:04 raypad NetworkManager[166392]: xl2tpd[166392]: xl2tpd version xl2tpd-1.3.14 started on raypad PID:166392
May 31 13:03:04 raypad NetworkManager[166392]: xl2tpd[166392]: L2TP kernel support not detected (try modprobing l2tp_ppp and pppol2tp)
May 31 13:03:04 raypad NetworkManager[166392]: xl2tpd[166392]: Not looking for kernel SAref support.
May 31 13:03:04 raypad NetworkManager[91583]: <info>  [1590919384.1190] vpn-connection[0x560cc2eb84d0,f054844c-70c6-45f1-8d1c-ecc1127a188b,"vpn-con",0]: VPN plugin: state changed: starting (3)
May 31 13:03:04 raypad nm-l2tp-service[166256]: xl2tpd started with pid 166392
May 31 13:03:03 raypad charon[166327]: 15[IKE] ignoring fourth Quick Mode message
May 31 13:03:03 raypad charon[166327]: 15[ENC] parsed QUICK_MODE response 663967856 [ HASH N(INIT_CONTACT) ]
May 31 13:03:03 raypad charon[166327]: 15[NET] received packet: from LEFT_IP[4500] to RIGHT_IP[4500] (76 bytes)
May 31 13:03:03 raypad NetworkManager[166376]: connection 'f054844c-70c6-45f1-8d1c-ecc1127a188b' established successfully
May 31 13:03:03 raypad NetworkManager[166376]: generating QUICK_MODE request 663967856 [ HASH ]
May 31 13:03:03 raypad NetworkManager[166376]: CHILD_SA f054844c-70c6-45f1-8d1c-ecc1127a188b{1} established with SPIs c1a5b0bf_i 6abf7b74_o and TS RIGHT_IP/32[udp/l2tp] === LEFT_IP/32[udp/l2tp]
May 31 13:03:03 raypad NetworkManager[166376]: selected proposal: ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ
May 31 13:03:03 raypad NetworkManager[166376]: parsed QUICK_MODE response 663967856 [ HASH SA No ID ID NAT-OA NAT-OA ]
May 31 13:03:03 raypad NetworkManager[166376]: received packet: from LEFT_IP[4500] to RIGHT_IP[4500] (212 bytes)
May 31 13:03:03 raypad NetworkManager[166376]: sending packet: from RIGHT_IP[4500] to LEFT_IP[4500] (220 bytes)
May 31 13:03:03 raypad NetworkManager[166376]: generating QUICK_MODE request 663967856 [ HASH SA No ID ID NAT-OA NAT-OA ]
May 31 13:03:03 raypad NetworkManager[166376]: maximum IKE_SA lifetime 10691s
May 31 13:03:03 raypad NetworkManager[166376]: scheduling reauthentication in 10151s
May 31 13:03:03 raypad NetworkManager[166376]: IKE_SA f054844c-70c6-45f1-8d1c-ecc1127a188b[1] established between RIGHT_IP[RIGHT_IP]...LEFT_IP[IP_NAT (сервер за натом)]
May 31 13:03:03 raypad NetworkManager[166376]: parsed ID_PROT response 0 [ ID HASH ]
May 31 13:03:03 raypad NetworkManager[166376]: received packet: from LEFT_IP[4500] to RIGHT_IP[4500] (68 bytes)
May 31 13:03:03 raypad NetworkManager[166376]: sending packet: from RIGHT_IP[4500] to LEFT_IP[4500] (100 bytes)
May 31 13:03:03 raypad NetworkManager[166376]: generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
May 31 13:03:03 raypad NetworkManager[166376]: remote host is behind NAT
May 31 13:03:03 raypad NetworkManager[166376]: local host is behind NAT, sending keep alives
May 31 13:03:03 raypad NetworkManager[166376]: parsed ID_PROT response 0 [ KE No NAT-D NAT-D ]
May 31 13:03:03 raypad NetworkManager[166376]: received packet: from LEFT_IP[500] to RIGHT_IP[500] (260 bytes)
May 31 13:03:03 raypad NetworkManager[166376]: sending packet: from RIGHT_IP[500] to LEFT_IP[500] (244 bytes)
May 31 13:03:03 raypad NetworkManager[166376]: generating ID_PROT request 0 [ KE No NAT-D NAT-D ]
May 31 13:03:03 raypad NetworkManager[166376]: selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
May 31 13:03:03 raypad NetworkManager[166376]: received unknown vendor ID: e3:a5:96:6a:76:37:9f:e7:07:22:82:31:e5:ce:86:52
May 31 13:03:03 raypad NetworkManager[166376]: received unknown vendor ID: fb:1d:e3:cd:f3:41:b7:ea:16:b7:e5:be:08:55:f1:20
May 31 13:03:03 raypad NetworkManager[166376]: received FRAGMENTATION vendor ID
May 31 13:03:03 raypad NetworkManager[166376]: received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
May 31 13:03:03 raypad NetworkManager[166376]: received NAT-T (RFC 3947) vendor ID
May 31 13:03:03 raypad NetworkManager[166376]: received MS NT5 ISAKMPOAKLEY vendor ID
May 31 13:03:03 raypad NetworkManager[166376]: parsed ID_PROT response 0 [ SA V V V V V V ]
May 31 13:03:03 raypad NetworkManager[166376]: received packet: from LEFT_IP[500] to RIGHT_IP[500] (208 bytes)
May 31 13:03:03 raypad NetworkManager[166376]: sending packet: from RIGHT_IP[500] to LEFT_IP[500] (236 bytes)
May 31 13:03:03 raypad NetworkManager[166376]: generating ID_PROT request 0 [ SA V V V V V ]
May 31 13:03:03 raypad NetworkManager[166376]: initiating Main Mode IKE_SA f054844c-70c6-45f1-8d1c-ecc1127a188b[1] to LEFT_IP
May 31 13:03:03 raypad charon[166327]: 01[NET] sending packet: from RIGHT_IP[4500] to LEFT_IP[4500] (60 bytes)
May 31 13:03:03 raypad charon[166327]: 01[ENC] generating QUICK_MODE request 663967856 [ HASH ]
May 31 13:03:03 raypad charon[166327]: 01[IKE] CHILD_SA f054844c-70c6-45f1-8d1c-ecc1127a188b{1} established with SPIs c1a5b0bf_i 6abf7b74_o and TS RIGHT_IP/32[udp/l2tp] === LEFT_IP/32[udp/l2tp]
May 31 13:03:03 raypad charon[166327]: 01[IKE] CHILD_SA f054844c-70c6-45f1-8d1c-ecc1127a188b{1} established with SPIs c1a5b0bf_i 6abf7b74_o and TS RIGHT_IP/32[udp/l2tp] === LEFT_IP/32[udp/l2tp]
May 31 13:03:03 raypad audit: MAC_IPSEC_EVENT op=SPD-add auid=4294967295 ses=4294967295 subj=system_u:system_r:ipsec_t:s0 res=1 src=RIGHT_IP dst=LEFT_IP
May 31 13:03:03 raypad audit: MAC_IPSEC_EVENT op=SPD-add auid=4294967295 ses=4294967295 subj=system_u:system_r:ipsec_t:s0 res=1 src=LEFT_IP dst=RIGHT_IP
May 31 13:03:03 raypad audit: MAC_IPSEC_EVENT op=SAD-add auid=4294967295 ses=4294967295 subj=system_u:system_r:ipsec_t:s0 src=RIGHT_IP dst=LEFT_IP spi=1790933876(0x6abf7b74) res=1
May 31 13:03:03 raypad audit: MAC_IPSEC_EVENT op=SAD-add auid=4294967295 ses=4294967295 subj=system_u:system_r:ipsec_t:s0 src=LEFT_IP dst=RIGHT_IP spi=3248861375(0xc1a5b0bf) res=1
May 31 13:03:03 raypad charon[166327]: 01[CFG] selected proposal: ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ
May 31 13:03:03 raypad charon[166327]: 01[ENC] parsed QUICK_MODE response 663967856 [ HASH SA No ID ID NAT-OA NAT-OA ]
May 31 13:03:03 raypad charon[166327]: 01[NET] received packet: from LEFT_IP[4500] to RIGHT_IP[4500] (212 bytes)
May 31 13:03:03 raypad charon[166327]: 12[NET] sending packet: from RIGHT_IP[4500] to LEFT_IP[4500] (220 bytes)
May 31 13:03:03 raypad charon[166327]: 12[ENC] generating QUICK_MODE request 663967856 [ HASH SA No ID ID NAT-OA NAT-OA ]
May 31 13:03:03 raypad charon[166327]: 12[IKE] maximum IKE_SA lifetime 10691s
May 31 13:03:03 raypad charon[166327]: 12[IKE] scheduling reauthentication in 10151s
May 31 13:03:03 raypad charon[166327]: 12[IKE] IKE_SA f054844c-70c6-45f1-8d1c-ecc1127a188b[1] established between RIGHT_IP[RIGHT_IP]...LEFT_IP[IP_NAT (сервер за натом)]
May 31 13:03:03 raypad charon[166327]: 12[IKE] IKE_SA f054844c-70c6-45f1-8d1c-ecc1127a188b[1] established between RIGHT_IP[RIGHT_IP]...LEFT_IP[IP_NAT (сервер за натом)]
May 31 13:03:03 raypad charon[166327]: 12[ENC] parsed ID_PROT response 0 [ ID HASH ]
May 31 13:03:03 raypad charon[166327]: 12[NET] received packet: from LEFT_IP[4500] to RIGHT_IP[4500] (68 bytes)
May 31 13:03:03 raypad charon[166327]: 14[NET] sending packet: from RIGHT_IP[4500] to LEFT_IP[4500] (100 bytes)
May 31 13:03:03 raypad charon[166327]: 14[ENC] generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
May 31 13:03:03 raypad charon[166327]: 14[IKE] remote host is behind NAT
May 31 13:03:03 raypad charon[166327]: 14[IKE] local host is behind NAT, sending keep alives
May 31 13:03:03 raypad charon[166327]: 14[ENC] parsed ID_PROT response 0 [ KE No NAT-D NAT-D ]
May 31 13:03:03 raypad charon[166327]: 14[NET] received packet: from LEFT_IP[500] to RIGHT_IP[500] (260 bytes)
May 31 13:03:03 raypad charon[166327]: 13[NET] sending packet: from RIGHT_IP[500] to LEFT_IP[500] (244 bytes)
May 31 13:03:03 raypad charon[166327]: 13[ENC] generating ID_PROT request 0 [ KE No NAT-D NAT-D ]
May 31 13:03:03 raypad charon[166327]: 13[CFG] selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
May 31 13:03:03 raypad charon[166327]: 13[ENC] received unknown vendor ID: e3:a5:96:6a:76:37:9f:e7:07:22:82:31:e5:ce:86:52
May 31 13:03:03 raypad charon[166327]: 13[ENC] received unknown vendor ID: fb:1d:e3:cd:f3:41:b7:ea:16:b7:e5:be:08:55:f1:20
May 31 13:03:03 raypad charon[166327]: 13[IKE] received FRAGMENTATION vendor ID
May 31 13:03:03 raypad charon[166327]: 13[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
May 31 13:03:03 raypad charon[166327]: 13[IKE] received NAT-T (RFC 3947) vendor ID
May 31 13:03:03 raypad charon[166327]: 13[IKE] received MS NT5 ISAKMPOAKLEY vendor ID
May 31 13:03:03 raypad charon[166327]: 13[ENC] parsed ID_PROT response 0 [ SA V V V V V V ]
May 31 13:03:03 raypad charon[166327]: 13[NET] received packet: from LEFT_IP[500] to RIGHT_IP[500] (208 bytes)
May 31 13:03:03 raypad charon[166327]: 11[NET] sending packet: from RIGHT_IP[500] to LEFT_IP[500] (236 bytes)
May 31 13:03:03 raypad charon[166327]: 11[ENC] generating ID_PROT request 0 [ SA V V V V V ]
May 31 13:03:03 raypad charon[166327]: 11[IKE] initiating Main Mode IKE_SA f054844c-70c6-45f1-8d1c-ecc1127a188b[1] to LEFT_IP
May 31 13:03:03 raypad charon[166327]: 11[IKE] initiating Main Mode IKE_SA f054844c-70c6-45f1-8d1c-ecc1127a188b[1] to LEFT_IP
May 31 13:03:03 raypad charon[166327]: 09[CFG] received stroke: initiate 'f054844c-70c6-45f1-8d1c-ecc1127a188b'
May 31 13:03:03 raypad charon[166327]: 08[CFG]   loaded IKE secret for IP_NAT (сервер за натом)
May 31 13:03:03 raypad charon[166327]: 08[CFG] loading secrets from '/etc/strongswan/ipsec.d/ipsec.nm-l2tp.secrets'
May 31 13:03:03 raypad charon[166327]: 08[CFG]   loaded IKE secret for LEFT_IP
May 31 13:03:03 raypad charon[166327]: 08[CFG]   loaded IKE secret for IP_NAT (сервер за натом)
May 31 13:03:03 raypad charon[166327]: 08[CFG] loading secrets from '/etc/strongswan/ipsec.secrets'
May 31 13:03:03 raypad charon[166327]: 08[CFG] rereading secrets
May 31 13:03:02 raypad charon[166327]: 05[CFG] added configuration 'f054844c-70c6-45f1-8d1c-ecc1127a188b'
May 31 13:03:02 raypad charon[166327]: 05[CFG] received stroke: add connection 'f054844c-70c6-45f1-8d1c-ecc1127a188b'
May 31 13:03:02 raypad ipsec_starter[166326]: charon (166327) started after 60 ms
May 31 13:03:02 raypad charon[166327]: 00[JOB] spawning 16 worker threads
May 31 13:03:02 raypad charon[166327]: 00[LIB] loaded plugins: charon pkcs11 tpm aesni aes des rc2 sha2 sha1 md4 md5 mgf1 random nonce x509 revocation constraints acert pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt fips-prf gmp curve25519 chapoly xcb>
May 31 13:03:02 raypad charon[166327]: 00[CFG] no script for ext-auth script defined, disabled
May 31 13:03:02 raypad charon[166327]: 00[CFG] HA config misses local/remote address
May 31 13:03:02 raypad charon[166327]: 00[CFG] loaded 0 RADIUS server configurations
May 31 13:03:02 raypad charon[166327]: 00[CFG] opening triplet file /etc/strongswan/ipsec.d/triplets.dat failed: No such file or directory
May 31 13:03:02 raypad charon[166327]: 00[CFG]   loaded IKE secret for IP_NAT (сервер за натом)
May 31 13:03:02 raypad charon[166327]: 00[CFG] loading secrets from '/etc/strongswan/ipsec.d/ipsec.nm-l2tp.secrets'
May 31 13:03:02 raypad charon[166327]: 00[CFG]   loaded IKE secret for LEFT_IP
May 31 13:03:02 raypad charon[166327]: 00[CFG]   loaded IKE secret for IP_NAT (сервер за натом)
May 31 13:03:02 raypad charon[166327]: 00[CFG] loading secrets from '/etc/strongswan/ipsec.secrets'
May 31 13:03:02 raypad charon[166327]: 00[CFG] loading crls from '/etc/strongswan/ipsec.d/crls'
May 31 13:03:02 raypad charon[166327]: 00[CFG] loading attribute certificates from '/etc/strongswan/ipsec.d/acerts'
May 31 13:03:02 raypad charon[166327]: 00[CFG] loading ocsp signer certificates from '/etc/strongswan/ipsec.d/ocspcerts'
May 31 13:03:02 raypad charon[166327]: 00[CFG] loading aa certificates from '/etc/strongswan/ipsec.d/aacerts'
May 31 13:03:02 raypad charon[166327]: 00[CFG] loading ca certificates from '/etc/strongswan/ipsec.d/cacerts'
May 31 13:03:02 raypad NetworkManager[91583]: <debug> [1590919382.8483] platform: signal: rt-rule   added: [6] 220: from all lookup 220
May 31 13:03:02 raypad NetworkManager[91583]: <debug> [1590919382.8481] platform: signal: rt-rule   added: [4] 220: from all lookup 220
May 31 13:03:02 raypad charon[166327]: 00[LIB] openssl FIPS mode(2) - enabled
May 31 13:03:02 raypad charon[166327]: 00[CFG] PKCS11 module '<name>' lacks library path
May 31 13:03:02 raypad charon[166327]: 00[DMN] Starting IKE charon daemon (strongSwan 5.8.4, Linux 5.6.14-300.fc32.x86_64, x86_64)
May 31 13:03:02 raypad ipsec_starter[166326]: Attempting to start charon...
May 31 13:03:02 raypad ipsec_starter[166267]: Loading conn 'f054844c-70c6-45f1-8d1c-ecc1127a188b'
May 31 13:03:02 raypad ipsec_starter[166267]: Loading config setup
May 31 13:03:02 raypad ipsec_starter[166267]: Starting strongSwan 5.8.4 IPsec [starter]...
May 31 13:03:02 raypad NetworkManager[166267]: Loading conn 'f054844c-70c6-45f1-8d1c-ecc1127a188b'
May 31 13:03:02 raypad NetworkManager[166267]: Loading config setup
May 31 13:03:02 raypad NetworkManager[166267]: Starting strongSwan 5.8.4 IPsec [starter]...
May 31 13:03:00 raypad NetworkManager[166270]: Stopping strongSwan IPsec failed: starter is not running
May 31 13:03:00 raypad nm-l2tp-service[166256]: Check port 1701
May 31 13:03:00 raypad NetworkManager[91583]: <debug> [1590919380.7754] vpn-connection[0x560cc2eb84d0,f054844c-70c6-45f1-8d1c-ecc1127a188b,"vpn-con",0]: VPN connection: falling back to non-interactive connect
May 31 13:03:00 raypad NetworkManager[91583]: <info>  [1590919380.7753] vpn-connection[0x560cc2eb84d0,f054844c-70c6-45f1-8d1c-ecc1127a188b,"vpn-con",0]: VPN connection: (ConnectInteractive) reply received
May 31 13:03:00 raypad NetworkManager[91583]: <debug> [1590919380.7747] device[800d0c3c21317646] (p2p-dev-wlp4s0): remove_pending_action (0): 'autoactivate'
May 31 13:03:00 raypad NetworkManager[91583]: <debug> [1590919380.7745] device[800d0c3c21317646] (p2p-dev-wlp4s0): add_pending_action (1): 'autoactivate'
May 31 13:03:00 raypad NetworkManager[91583]: <debug> [1590919380.7743] vpn-connection[0x560cc2eb84d0,f054844c-70c6-45f1-8d1c-ecc1127a188b,"vpn-con",0]: Allowing interactive secrets as all agents have that capability
May 31 13:03:00 raypad NetworkManager[91583]: <debug> [1590919380.7741] vpn-connection[0x560cc2eb84d0,f054844c-70c6-45f1-8d1c-ecc1127a188b,"vpn-con",0]: service indicated no additional secrets required
May 31 13:03:00 raypad NetworkManager[91583]: <debug> [1590919380.7720] vpn-connection[0x560cc2eb84d0,f054844c-70c6-45f1-8d1c-ecc1127a188b,"vpn-con",0]: asking service if additional secrets are required
May 31 13:03:00 raypad NetworkManager[91583]: <debug> [1590919380.7708] settings-connection[3b12d61357701335,f054844c-70c6-45f1-8d1c-ecc1127a188b]: (vpn:0x560cc2dc1190) new agent secrets processed
May 31 13:03:00 raypad NetworkManager[91583]: <debug> [1590919380.7706] settings-connection[3b12d61357701335,f054844c-70c6-45f1-8d1c-ecc1127a188b]: (vpn:0x560cc2dc1190) secrets request completed
May 31 13:03:00 raypad NetworkManager[91583]: <debug> [1590919380.7706] settings-connection[3b12d61357701335,f054844c-70c6-45f1-8d1c-ecc1127a188b]: (vpn:0x560cc2dc1190) existing secrets returned
May 31 13:03:00 raypad NetworkManager[91583]: <debug> [1590919380.7702] agent-manager: ([6188a4ce4f5653d9/"vpn-con"/"vpn"]) system settings secrets sufficient
May 31 13:03:00 raypad NetworkManager[91583]: <debug> [1590919380.7700] settings-connection[3b12d61357701335,f054844c-70c6-45f1-8d1c-ecc1127a188b]: (vpn:0x560cc2e98030) secrets requested flags 0x80000004 hints '(none)'
May 31 13:03:00 raypad NetworkManager[91583]: <debug> [1590919380.7699] Secrets requested for connection /org/freedesktop/NetworkManager/Settings/9 (vpn-con/vpn)
May 31 13:03:00 raypad NetworkManager[91583]: <debug> [1590919380.7693] vpn-connection[0x560cc2eb84d0,f054844c-70c6-45f1-8d1c-ecc1127a188b,"vpn-con",0]: requesting VPN secrets pass #1
May 31 13:03:00 raypad NetworkManager[91583]: <info>  [1590919380.7689] vpn-connection[0x560cc2eb84d0,f054844c-70c6-45f1-8d1c-ecc1127a188b,"vpn-con",0]: Saw the service appear; activating connection
May 31 13:03:00 raypad NetworkManager[91583]: <info>  [1590919380.7584] vpn-connection[0x560cc2eb84d0,f054844c-70c6-45f1-8d1c-ecc1127a188b,"vpn-con",0]: Started the VPN service, PID 166256
May 31 13:03:00 raypad NetworkManager[91583]: <info>  [1590919380.7540] audit: op="connection-activate" uuid="f054844c-70c6-45f1-8d1c-ecc1127a188b" name="vpn-con" pid=166250 uid=0 result="success"
May 31 13:03:00 raypad NetworkManager[91583]: <debug> [1590919380.7530] active-connection[0x560cc2eb84d0]: check-master-ready: not signalling (state activating, no master)
May 31 13:03:00 raypad NetworkManager[91583]: <debug> [1590919380.7527] active-connection[0x560cc2eb84d0]: set state activating (was unknown)
May 31 13:03:00 raypad NetworkManager[91583]: <debug> [1590919380.7523] active-connection[0x560cc2eb84d0]: constructed (NMVpnConnection, version-id 13, type managed)
May 31 13:03:00 raypad NetworkManager[91583]: <debug> [1590919380.7520] device[05a75d3145659c6b] (wlp4s0): add_pending_action (1): 'activation-13'
May 31 13:03:00 raypad NetworkManager[91583]: <debug> [1590919380.7520] active-connection[0x560cc2eb84d0]: set device "wlp4s0" [0x560cc2e01e20]
May 31 13:03:00 raypad NetworkManager[91583]: <debug> [1590919380.7511] policy: re-enabling autoconnect for all connections (only clear no-secrets flag)
May 31 13:03:00 raypad NetworkManager[91583]: <info>  [1590919380.7510] agent-manager: agent[cbcd65a1dac75a5b,:1.536/nmcli-connect/0]: agent registered
May 31 13:03:00 raypad NetworkManager[91583]: <debug> [1590919380.7508] agent-manager: agent[cbcd65a1dac75a5b,:1.536/nmcli-connect/0]: requesting permissions

Заранее спасибо за совет или подсказку куда копать дальше.

 , , ,

whoisyou ()

Как включать впн только для конкретного приложения\ий?

Имеется l2tp vpn, в систему «заводится» через network manager, при включении начинает через впн ходить вся система - как включать впн только для конкретного приложения\ий? ОСь арч, ядро свежее, стоит aur/networkmanager-l2tp. Нашел статью на хабре (https://habr.com/ru/post/310646/), но она под опенвпн, а знакомый говорит что под l2tp не подойдет " L2TP, если мне не изменяет память, работает в kernel space, просто так в netns ты его не поднимешь" Что еще попробовать?

 , , ,

Dark_Snow ()

L2TP/IPsec - пропадает связь

$ inxi -S
System:    Host: ryzen Kernel: 4.20.12-042012-generic x86_64 bits: 64 Desktop: KDE Plasma 5.12.6
           Distro: Ubuntu 18.04.1 LTS

Подключаюсь к VPN по L2TP/IPsec, но через некоторое время связь пропадает, просто перестают пинговаться ip-адреса в той локалке. В качестве обхода удается поднять сеть переподключением.

Использую вот это

$ dpkg -l | grep 'libreswan'
ii  libreswan                                                   3.23-4                                                      amd64        Internet Key Exchange daemon
$ dpkg -l | grep 'l2tp'
ii  xl2tpd                                                      1.3.10-1ubuntu1                                             amd64        layer 2 tunneling protocol implementation
Настроенное вот так
$ cat /etc/ipsec.conf
# /etc/ipsec.conf - Libreswan IPsec configuration file
#
# Manual:     ipsec.conf.5

config setup
        # Normally, pluto logs via syslog. If you want to log to a file,
        # specify below or to disable logging, eg for embedded systems, use
        # the file name /dev/null
        # Note: SElinux policies might prevent pluto writing to a log file at
        #       an unusual location.
        #logfile=/var/log/pluto.log
        #
        # Do not enable debug options to debug configuration issues!
        #
        # plutodebug "all", "none" or a combation from below:
        # "raw crypt parsing emitting control controlmore kernel pfkey
        #  natt x509 dpd dns oppo oppoinfo private".
        # Note: "private" is not included with "all", as it can show confidential
        #       information. It must be specifically specified
        # examples:
        # plutodebug="control parsing"
        # plutodebug="all crypt"
        # Again: only enable plutodebug when asked by a developer
        #plutodebug=none
        #
        # NAT-TRAVERSAL support
        # exclude networks used on server side by adding %v4:!a.b.c.0/24
        # It seems that T-Mobile in the US and Rogers/Fido in Canada are
        # using 25/8 as "private" address space on their wireless networks.
        # This range has never been announced via BGP (at least up to 2015)
        virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v4:100.64.0.0/10,%v6:fd00::/8,%v6:fe80::/10
        nat_traversal=yes
        protostack=netkey            # default is auto, which will try netkey first
        plutoopts="--interface=enp30s0" # Replace eth0 with your network interface or use %defaultroute to use default route

# For example connections, see your distribution's documentation directory,
# or https://libreswan.org/wiki/
#
# There is also a lot of information in the manual page, "man ipsec.conf"
#
# It is best to add your IPsec connections as separate files in /etc/ipsec.d/

conn L2TP-PSK
     authby=secret
     pfs=no
     auto=add
     keyingtries=3
     dpddelay=30
     dpdtimeout=120
     dpdaction=clear
     rekey=yes
     ikelifetime=8h
     keylife=1h
     type=transport
     left=192.168.1.2           # Replace with your local IP address (private, behind NAT IP is okay as well)
     leftprotoport=17/1701
     right=X.X.X.X            # Replace with your VPN server's IP
     rightid=10.0.0.207
     rightprotoport=17/1701

include /etc/ipsec.d/*.conf
$ cat /etc/xl2tpd/xl2tpd.conf
[lac vpn-name]
lns = X.X.X.X
ppp debug = yes
pppoptfile = /etc/ppp/options.l2tpd.client
length bit = yes
Про настройку сервера ничего сказать не могу, к нему нет доступа, знаю только что там Оффтопик Сервер. Подключаюсь таким скриптом
systemctl start ipsec.service
sleep 2
systemctl start xl2tpd.service
ipsec auto --up L2TP-PSK
echo "c vpn-name" > /var/run/xl2tpd/l2tp-control
sleep 2
ip route add 10.0.0.0/21 via 10.10.0.1 dev ppp0

 , ,

damix9 ()

strongswan + xl2tpd и клиенты macOS/iOS не дружат

Всем привет.

Вроде перерыл кучу мануалов и факов, но всё равно не работает.
Точнее не так. Работает с Windows 7/10 и Android (на версию не обращал внимания). А вот с macOS ноутами не работает.

Задача настроить IPSec PSK + l2tpd. Какая-то тонкость с macOS но не могу допереть какая....

Получаю ЛОГ следующего вида:

апр 07 18:30:17 my-server charon[3767]: 06[NET] received packet: from client.ip.v4[500] to my.server.ip.v4[500] (788 bytes)
апр 07 18:30:17 my-server charon[3767]: 06[ENC] parsed ID_PROT request 0 [ SA V V V V V V V V V V V V ]
апр 07 18:30:17 my-server charon[3767]: 06[IKE] received NAT-T (RFC 3947) vendor ID
апр 07 18:30:17 my-server charon[3767]: 06[IKE] received draft-ietf-ipsec-nat-t-ike vendor ID
апр 07 18:30:17 my-server charon[3767]: 06[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID
апр 07 18:30:17 my-server charon[3767]: 06[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID
апр 07 18:30:17 my-server charon[3767]: 06[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID
апр 07 18:30:17 my-server charon[3767]: 06[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID
апр 07 18:30:17 my-server charon[3767]: 06[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID
апр 07 18:30:17 my-server charon[3767]: 06[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
апр 07 18:30:17 my-server charon[3767]: 06[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID
апр 07 18:30:17 my-server charon[3767]: 06[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
апр 07 18:30:17 my-server charon[3767]: 06[IKE] received FRAGMENTATION vendor ID
апр 07 18:30:17 my-server charon[3767]: 06[IKE] received DPD vendor ID
апр 07 18:30:17 my-server charon[3767]: 06[IKE] client.ip.v4 is initiating a Main Mode IKE_SA
апр 07 18:30:17 my-server charon[3767]: 06[IKE] client.ip.v4 is initiating a Main Mode IKE_SA
апр 07 18:30:17 my-server charon[3767]: 06[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
апр 07 18:30:17 my-server charon[3767]: 06[ENC] generating ID_PROT response 0 [ SA V V V V ]
апр 07 18:30:17 my-server charon[3767]: 06[NET] sending packet: from my.server.ip.v4[500] to client.ip.v4[500] (160 bytes)
апр 07 18:30:17 my-server charon[3767]: 07[NET] received packet: from client.ip.v4[500] to my.server.ip.v4[500] (228 bytes)
апр 07 18:30:17 my-server charon[3767]: 07[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]
апр 07 18:30:17 my-server charon[3767]: 07[IKE] remote host is behind NAT
апр 07 18:30:17 my-server charon[3767]: 07[ENC] generating ID_PROT response 0 [ KE No NAT-D NAT-D ]
апр 07 18:30:17 my-server charon[3767]: 07[NET] sending packet: from my.server.ip.v4[500] to client.ip.v4[500] (244 bytes)
апр 07 18:30:17 my-server charon[3767]: 08[NET] received packet: from client.ip.v4[4500] to my.server.ip.v4[4500] (108 bytes)
апр 07 18:30:17 my-server charon[3767]: 08[ENC] parsed ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
апр 07 18:30:17 my-server charon[3767]: 08[CFG] looking for pre-shared key peer configs matching my.server.ip.v4...client.ip.v4[192.168.0.100]
апр 07 18:30:17 my-server charon[3767]: 08[CFG] selected peer config "l2tpvpn"
апр 07 18:30:17 my-server charon[3767]: 08[IKE] IKE_SA l2tpvpn[2] established between my.server.ip.v4[my-server.domain]...client.ip.v4[192.168.0.100]
апр 07 18:30:17 my-server charon[3767]: 08[IKE] IKE_SA l2tpvpn[2] established between my.server.ip.v4[my-server.domain]...client.ip.v4[192.168.0.100]
апр 07 18:30:17 my-server charon[3767]: 08[ENC] generating ID_PROT response 0 [ ID HASH ]
апр 07 18:30:17 my-server charon[3767]: 08[NET] sending packet: from my.server.ip.v4[4500] to client.ip.v4[4500] (92 bytes)
апр 07 18:30:20 my-server charon[3767]: 16[NET] received packet: from client.ip.v4[4500] to my.server.ip.v4[4500] (108 bytes)
апр 07 18:30:20 my-server charon[3767]: 16[IKE] received retransmit of request with ID 0, retransmitting response
апр 07 18:30:20 my-server charon[3767]: 16[NET] sending packet: from my.server.ip.v4[4500] to client.ip.v4[4500] (92 bytes)
апр 07 18:30:24 my-server charon[3767]: 16[NET] received packet: from client.ip.v4[4500] to my.server.ip.v4[4500] (108 bytes)
апр 07 18:30:24 my-server charon[3767]: 16[IKE] received retransmit of request with ID 0, retransmitting response
апр 07 18:30:24 my-server charon[3767]: 16[NET] sending packet: from my.server.ip.v4[4500] to client.ip.v4[4500] (92 bytes)
апр 07 18:30:27 my-server charon[3767]: 13[NET] received packet: from client.ip.v4[4500] to my.server.ip.v4[4500] (108 bytes)
апр 07 18:30:27 my-server charon[3767]: 13[IKE] received retransmit of request with ID 0, retransmitting response
апр 07 18:30:27 my-server charon[3767]: 13[NET] sending packet: from my.server.ip.v4[4500] to client.ip.v4[4500] (92 bytes)
апр 07 18:30:39 my-server charon[3767]: 05[NET] received packet: from client.ip.v4[4500] to my.server.ip.v4[4500] (108 bytes)
апр 07 18:30:39 my-server charon[3767]: 05[IKE] received retransmit of request with ID 0, retransmitting response
апр 07 18:30:39 my-server charon[3767]: 05[NET] sending packet: from my.server.ip.v4[4500] to client.ip.v4[4500] (92 bytes)
апр 07 18:30:47 my-server charon[3767]: 09[IKE] sending DPD request
апр 07 18:30:47 my-server charon[3767]: 09[ENC] generating INFORMATIONAL_V1 request 2116794170 [ HASH N(DPD) ]
апр 07 18:30:47 my-server charon[3767]: 09[NET] sending packet: from my.server.ip.v4[4500] to client.ip.v4[4500] (92 bytes)
апр 07 18:31:17 my-server charon[3767]: 14[IKE] sending DPD request
апр 07 18:31:17 my-server charon[3767]: 14[ENC] generating INFORMATIONAL_V1 request 2307359010 [ HASH N(DPD) ]
апр 07 18:31:17 my-server charon[3767]: 14[NET] sending packet: from my.server.ip.v4[4500] to client.ip.v4[4500] (92 bytes)
апр 07 18:31:47 my-server charon[3767]: 11[IKE] sending DPD request
апр 07 18:31:47 my-server charon[3767]: 11[ENC] generating INFORMATIONAL_V1 request 833650917 [ HASH N(DPD) ]
апр 07 18:31:47 my-server charon[3767]: 11[NET] sending packet: from my.server.ip.v4[4500] to client.ip.v4[4500] (92 bytes)
апр 07 18:32:17 my-server charon[3767]: 13[JOB] DPD check timed out, enforcing DPD action

 ,

Spider55 ()

L2TP сервер на Ubuntu 18.04

Помогите, не идет трафик через l2tp, а именно:

Есть виртуальный сервер, с Ubuntu 16.04, на нем установлен l2tp сервер. К нему вяжется MikroTik через l2tp клиент. В итоге - соединение есть, но трафик не идет, в разделе Traffic микротика, Tx - 1024bps постоянно, видно что с этого интерфейса два запроса на два DNS сервера, и постоянно висят на Tx 512bps. Порт в фаерволе открыт, да и вообще с микротиком все норм, так как к другому l2tp серверу он цеплялся норм.

Есть подозрение что беда в iptables самого сервера, но тут я не силен конечно( С помощью всяких инструкций в инете пробовал, но ничего не помогает(

 , , ,

Pravnik84 ()

xl2tpd при подключении не обновляет адрес хоста

Есть сервер CentOS. На нем поднимается подключение L2tp/IpSec как клиент. Strongswan + xl2tpd

Подключение не по IP, а по имени хоста. Имя хоста имеет 3 штуки A записей DNS

Сначала создается подключение IPsec. Strongswan обращается к dns и по первому же ответу от сервера DNS поднимает соединение.
Потом поднимается подключение L2tp. Должен перебирать DNS записи хоста, пока не сможет подключиться (т.е. только тот ip на котором активно подключение ipsec).

Так вот проблема:
на тестовой машине xl2tpd отрабатывает правильно. При каждой новой попытке берет новый ip
на проде все время берет один и тот же ip при новых попытках.
Меняет ip по очереди только при перезапуске сервиса xl2tpd.
настройки strongswan и xl2tpd полностью идентичные. немного отличается версия xl2tpd сервиса, на проде новее!
из-за чего это может быть?

 , , , ,

nikon_ww ()

Ошибка при l2tp подключении

ubuntu 18.04, настройки моего провайдера: http://350123.ru/clients/snr/

Мои настройки: https://ibb.co/dmv3T7x ipsec выключен.

cat /var/log/syslog => https://pastebin.com/bReNr157

Что можете порекомендовать?

 , ,

howtowina1 ()