LINUX.ORG.RU

1
Всего сообщений: 31

ipsec и openswan

Доброго времени суток.

К моему большому сожалению выяснилось, что: «ipsec-tools has security issues, and you should not use it. Please switch to a secure alternative!». А openswan теперь отсутствует в репах Debian 10.

Кто на что пересел? Какие есть альтернативы?

 , ,

ivanlex ()

L2TP (xl2tpd+openswan) нет коннекта на Android

Настроил L2TP сервер, связка xl2tpd+openswan, все замечательно конектится в винде и на iOS, а на андроиде напрочь не хочет. Выбираю L2TP/IPSec PSK висит думает и в итоге ошибка.

ipsec.conf:
config setup
nat_traversal=yes

virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
oe=off
protostack=netkey

conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
authby=secret
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
keylife=1h
type=transport
left=IP СЕРВЕРА
leftprotoport=17/1701
right=%any
rightprotoport=17/%any

само собой ipsec.secrets формата IP СЕРВЕРА %any : PSK «общий ключ»

xl2tpd.conf: [global]
port = 1701
ipsec saref = yes
saref refinfo = 30

[lns default]
ip range = 10.1.2.2-10.1.2.255
local ip = 10.1.2.1
refuse chap = yes
refuse pap = yes
require authentication = yes
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes
name = VPN

options.xl2tpd:
require-mschap-v2
ms-dns 8.8.8.8
ms-dns 8.8.4.4
asyncmap 0
auth
crtscts
lock
hide-password
modem
#debug
name VPN
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4
logfile /var/log/xl2tpd.log

И chap-secrets: user1 VPN u321789 *

 , , , ,

FillRU ()

Site-to-Site VPN Cisco2921-Openswan

Помогите понять почему не подымается туннель между Cisco2921 и Openswan Centos.

Настройки на Cisco:

crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2

crypto isakmp key 12345 address 10.10.10.10

ip access-list extended SitesVPN
 permit ip any host 87.240.129.72
 permit ip any host 18.196.37.30

crypto ipsec transform-set centos esp-3des esp-sha-hmac

crypto map centosipsec 10 ipsec-isakmp 
 set peer 10.10.10.10
 set transform-set centos 
 match address SitesVPN

interface GigabitEthernet0/1
 ip address 192.168.10.10 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
 crypto map centosipsec

Конфиги Openswan

ipsec.conf

version 2

config setup
        protostack=auto
        logfile=/var/log/pluto.log
        dumpdir=/var/run/pluto/
        nat_traversal=yes
        fragicmp=yes
        oe=off
include /etc/ipsec.d/*.conf

office.conf:

conn nullgr
        left=10.10.10.10
        leftsubnet=192.168.1.10/32
        rightsubnet=172.16.100.0/24
        right=192.168.10.10
        authby=secret
        keyexchange=ike
        type=tunnel
        auto=start
        priority=1
        pfs=no
        ikev2=permit
        ike=3des-sha1-modp1024

ipsec.secret:

10.10.10.10 192.168.10.10: PSK "12345"

Ipsec на Centos запускается без ошибок.

На Cisco:

sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
192.168.10.10   10.10.10.10    QM_IDLE           1212 ACTIVE

Но доступа к адресам vk и yandex нету.

 , , ,

perrfect ()

IPSec из-за NAT

Пытаюсь поднять IPSec туннель (Mikrotik -> Linux openswan) от дома до VPS'ки. Проблема в том, что VPS находится за NATом с полным диапазоном проброшенных портов. То есть выделенный IP как бы есть, но на интерфейсе висит локальный адрес.

Конфиг openswan:

version 2

config setup
        nat_traversal=yes
        oe=off
        protostack=netkey
        force_keepalive=yes
        keep_alive=60

conn mikrotik-to-linux
        authby=secret
        auto=start
        type=tunnel
        left=EXT_VPS
        leftid=EXT_VPS
        leftsourceip=10.1.166.21
        leftsubnet=10.1.166.20/31
        right=EXT_HOME
        rightsubnet=172.16.16.0/24
        rightid=EXT_HOME
        pfs=no
        forceencaps=yes
        ike=aes256-sha1;modp1024
        phase2=esp
        phase2alg=aes256-sha1

tcpdump'ом на VPS вижу вот такие входящие пакеты (исходящих нет):

14:00:44.543368 IP (tos 0x0, ttl 50, id 0, offset 0, flags [DF], proto UDP (17), length 412)
    EXT_HOME.isakmp > 10.1.166.21.isakmp: [udp sum ok] isakmp 1.0 msgid 00000000 cookie 2b615a8167baa98e->0000000000000000: phase 1 I ident:
    (sa: doi=ipsec situation=identity
        (p: #1 protoid=isakmp transform=2
            (t: #1 id=ike (type=lifetype value=sec)(type=lifeduration len=4 value=00015180)(type=enc value=aes)(type=keylen value=0080)(type=auth value=preshared)(type=hash value=sha1)(type=group desc value=modp1024))
            (t: #2 id=ike (type=lifetype value=sec)(type=lifeduration len=4 value=00015180)(type=enc value=3des)(type=auth value=preshared)(type=hash value=sha1)(type=group desc value=modp1024))))
    (vid: len=16)
    (vid: len=16)
    (vid: len=16)
    (vid: len=16)
    (vid: len=16)
    (vid: len=16)
    (vid: len=16)
    (vid: len=16)
    (vid: len=16)
    (vid: len=16)
    (vid: len=16)
    (vid: len=16)
    (vid: len=16)

Микротик спамит ошибку phase1 negotiation failed due to time up

В логах pluto вот такое:

Jul 20 14:07:39 docker pluto[16103]: "mikrotik-to-linux": We cannot identify ourselves with either end of this connection.  EXT_VPS or EXT_HOME are not usable
Jul 20 14:07:44 docker pluto[16103]: packet from EXT_HOME:500: initial Main Mode message received on 10.1.166.21:500 but no connection has been authorized with policy PSK+IKEV1_ALLOW

500ый порт nmap'ом пробивал, все открыто в обе стороны (в принципе в файрволе established разрешен и output открыт)

Догадываюсь, что где-то в настройках openswan надо указывать не реальный внешний ip-адрес VPS, а ip на интерфейсе, но варианты, которые пробовал я, не заработали. Подскажите, куда копать (и реально ли вообще с таким NATом запустить ipsec?)

 , ,

l0stparadise ()

Debian or Ubuntu Server и IPSec

OS: Debian арендован как VPS сперва поставил: apt-get install openswan xl2tpd

итак, все отработало, без ошибок. откорректировал файлик /etc/ipsec.conf в конце концов дошел до проверки статуса моего айписека и получил следующее:

ipsec verify

Checking your system to see if IPsec got installed and started correctly: Version check and ipsec on-path [OK]

Linux Openswan U2.6.38/K(no kernel code presently loaded) Checking for IPsec support in kernel [FAILED]

SAref kernel support [N/A]

Checking that pluto is running [OK]

Pluto listening for IKE on udp 500 [FAILED]

Pluto listening for NAT-T on udp 4500 [FAILED]

Two or more interfaces found, checking IP forwarding [FAILED]

Checking NAT and MASQUERADEing [OK]

Checking for 'ip' command [OK]

Checking /bin/sh is not /bin/dash [WARNING]

Checking for 'iptables' command [OK]

Opportunistic Encryption Support [DISABLED]

Опыта в работе с Nix системами очень мало. Итак не совсем понятно что с кернал не то, чего это он решил не поддерживать мой IPSec и как это поправить?

 , ,

paatoha ()

Помогите настроить l2tp(ipsec) с авторизацией по psk-key.

Добрый день. В первый раз столкнулся с таким соединением, поэтому полный нуб в этом. Система - Дебиан 8.

Пока курю вот эти два мана:

https://wiki.archlinux.org/index.php/Openswan_L2TP/IPsec_VPN_client_setup

https://www.elastichosts.com/blog/linux-l2tpipsec-vpn-client/

Собстевнно вопросы: Что такое левый и правый ip-адреса?

Я так понял левый - это тот, который я получаю в сети при поднятии тунеля, а правый - адрес сервера к которому подключаюсь?

При команде /etc/init.d/ipsec start получаю

failed to start openswan IKE daemon - the following error occured:
can not load config '/etc/ipsec.conf': /etc/ipsec.conf:61: syntax error, unexpected KEYWORD, expecting $end [virtual_private]

61 строка это

virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12

Что ему не нравится? какой $end ему нужен?

И если знаете ман получше, ткните пожалуйста.

openswan брал отсюда https://download.openswan.org/openswan/openswan-latest.tar.gz

 , ,

null123 ()

Трафик между тремя сетями в Libreswan IPSec

Топология сети:

Сервер Libreswan IPSec:

  • eth0: 10.144.0.0/22 src 10.144.0.3
  • ipsec1: 10.160.0.0/16, left=11.11.11.171 (libreswan), right=22.22.227.194 (azure ipsec)
  • ipsec2: 10.161.0.0/16, left=11.11.11.171 (libreswan), right=33.33.19.118 (azure ipsec)

Из сети eth0 видно сеть ipsec1 и ipsec2. И наоборот: из ipsec1 видно сеть eth0, из ipsec2 видно сеть eth0.

Проблема в том, что сети ipsec1 и ipsec2 не видят друг друга. На Libreswan IPsec я вижу, что трафик приходит, но он, почему-то, не маршрутизируется в другую сеть.

ipsec.conf:

conn ipsec1
  type=tunnel
  authby=secret
  dpdaction=restart
  dpddelay=30
  dpdtimeout=120
  salifetime=3600s
  left=11.11.11.171
  right=22.22.227.194
  rightsubnet=10.160.0.0/16
  ikev2=yes
  ike=aes128-sha1-modp1024
  keyingtries=3
  phase2alg=aes128-sha1
  rekey=yes
  pfs=no

conn net_10-144-0-0
  leftsubnet=10.144.0.0/12
  leftsourceip=10.144.0.3
  also=ipsec1
  auto=start

conn net_10-161-0-0
  leftsubnet=10.161.0.0/16
  also=ipsec1
  auto=start

conn ipsec2
  type=tunnel
  authby=secret
  dpdaction=restart
  dpddelay=30
  dpdtimeout=120
  salifetime=3600s
  left=11.11.11.171
  right=33.33.19.118
  rightsubnet=10.161.0.0/16
  ikev2=yes
  ike=aes128-sha1-modp1024
  keyingtries=3
  phase2alg=aes128-sha1
  rekey=yes
  pfs=no

conn net_10-144-0-0
  leftsubnet=10.144.0.0/12
  leftsourceip=10.144.0.3
  also=ipsec2
  auto=start

conn net_10-160-0-0
  leftsubnet=10.160.0.0/16
  also=ipsec2
  auto=start

# ip xfrm policy

src 10.144.0.0/12 dst 10.160.0.0/16
        dir out priority 2736 ptype main
        tmpl src 11.11.11.171 dst 22.22.227.194
                proto esp reqid 16389 mode tunnel
src 10.160.0.0/16 dst 10.144.0.0/12
        dir fwd priority 2736 ptype main
        tmpl src 22.22.227.194 dst 11.11.11.171
                proto esp reqid 16389 mode tunnel
src 10.160.0.0/16 dst 10.144.0.0/12
        dir in priority 2736 ptype main
        tmpl src 22.22.227.194 dst 11.11.11.171
                proto esp reqid 16389 mode tunnel
src 10.144.0.0/12 dst 10.161.0.0/16
        dir out priority 2736 ptype main
        tmpl src 11.11.11.171 dst 33.33.19.118
                proto esp reqid 16397 mode tunnel
src 10.161.0.0/16 dst 10.144.0.0/12
        dir fwd priority 2736 ptype main
        tmpl src 33.33.19.118 dst 11.11.11.171
                proto esp reqid 16397 mode tunnel
src 10.161.0.0/16 dst 10.144.0.0/12
        dir in priority 2736 ptype main
        tmpl src 33.33.19.118 dst 11.11.11.171
                proto esp reqid 16397 mode tunnel
src 10.160.0.0/16 dst 10.161.0.0/16
        dir out priority 2608 ptype main
        tmpl src 0.0.0.0 dst 0.0.0.0
                proto esp reqid 0 mode transport
src 10.161.0.0/16 dst 10.160.0.0/16
        dir out priority 2608 ptype main
        tmpl src 0.0.0.0 dst 0.0.0.0
                proto esp reqid 0 mode transport

Пожалуйста, помогите разобраться.

 , , ,

snvakula ()

IPSec Centos

Всем привет

Не получается настроить IPSec(Openswan).

Имеется:

1. Centos 6 x64

2. Openswan

Делаю site_to_site по мануалу https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html...

192.168.0.2 и 192.168.1.2 это интерфейсы которые смотрят в локалку(eth1)

Public_IP_Host_A и Public_IP_Host_B это интерфейсы которые смотрят в мир(eth0)

Host A

conn mytunnel
    auto=start
    leftid=@west.example.com
    left=Public_IP_Host_A
    leftsourceip=192.168.0.2
    leftsubnet=192.168.0.0/24
    leftrsasigkey=0sAQPWUF1IUfAWX ..... F57gW69bisiR8=
    rightid=@east.example.com
    right=Public_IP_Host_B
    rightsourceip=192.168.1.2
    rightsubnet=192.168.1.0/24
    rightrsasigkey=0sAQPF2p07R ..... PmY8zzk=
    authby=rsasig

Host B

conn mytunnel
    auto=start
    leftid=@east.example.com
    left=Public_IP_Host_B
    leftsourceip=192.168.1.2
    leftsubnet=192.168.1.0/24
    leftrsasigkey=0sAQPF2p07RX0BoPH4Mo ..... GErwy0hDlPmY8zzk=
    rightid=@west.example.com
    right=Public_IP_Host_A
    rightsourceip=192.168.0.2
    rightsubnet=192.168.0.0/24
    rightrsasigkey=0sAQPWUF1IUfAWXPpSg .... .. F57gW69bisiR8=
    authby=rsasig

При старте выдает

ipsec_setup: /usr/libexec/ipsec/addconn Non-fips mode set in /proc/sys/crypto/fips_enabled

Туннель не строит.

Что делаю не так?

Спасибо

 ,

mkgeka ()

IPSec drops connections without traffic

Доброго дня.

Есть 2 настроенных VPN туннеля между хостом с CentOS 6.5 (openswan-2.6.49) и двумя Cisco ASA (разные страны). Все поднимается, работает. Но проходит несколько минут (10-20), когда к хостам никто не обращается и туннели отваливаются. Работает одинаково для обоих подключений.
В нормальном состоянии ipsec status показывает вот это:

( читать дальше... )

Когда подключение отваливается, остается только первая часть (без последних двух строчек).
В /var/log/secure есть такие строчки:
localhost pluto[10708]: pending Quick Mode with remote_ip «conn/0x1» took too long — replacing phase 1
Конфиг такой:
conn conn
type=tunnel
authby=secret
auth=esp
ikelifetime=86400s
keylife=28800s
phase2alg=aes256-sha1
ike=aes256-sha1;modp1024
keyexchange=ike
pfs=no
left=loal+ip
leftsubnet=local_ip/32
right=remote_ip
rightsubnets={a.a.a.a/32,b.b.b.b/32,c.c.c.c/32}
dpddelay=30
dpdtimeout=60
dpdaction=restart_by_peer
auto=start

Насколько я понимаю, вот этот самый DPD должен рестартовать все SAs после того, как он решит, что удаленный пир мертв. Но он этого не делает. Админ со стороны Cisco говорит, что у него нет настроек аналогичных dpdaction.
Пробовал выставлять keep_alive в ipsec.conf - команда status говорила, что все SAs установлены, а трафик не идет.
Не подскажете, что нужно еще настроить?

 , , ,

dagger_nn ()

Не работает dns между клиентом и сервером L2tp\IPSec

Всем привет.

Описание ситуации. Есть Samba4, поднятая как контроллер домена. Есть необходимость подключится к нему с удалённой виндовой машины через RSAT. Для этого на той же машине организована связка openswan+xl2tpd. Подключение устанавливается, с виндовой машины компы в офисе пингуются все, но DNS-сервер самбы не виден. Чую, что неправильно настроил маршрутизацию, но как правильно сделать, не знаю. Конфиги и логи под катом.

( читать дальше... )

 , ,

topin89 ()

Зависит ли работоспособность IPSec на *swan'ах от версии ядра?

Hi, folks!

Возник такой вопрос, нет ли часом какой-либо зависимости между версиями libreswan/openswan и версиями ядра? Наблюдал такую ситуацию на OpenVZ: на хосте стоит CentOS 6 и vzkernel на базе RHELовскоко 2.6.32, если в контейнере тоже CentOS 6, то все ок взлетает влет на штатном OpenSWAN, но если в контейнере Ubuntu или CentOS 5 например, то IPSec не заводится ни в какую. Кроме того версии OpenSWAN очень напиминают версии ядра, почему? Речь идет про NETKEY а не KLIPS. Если мое предположение верно, то как со StrongSWAN?

Спасибо.

 , , ,

trancefer ()

IPSec туннель до сервера виртуальных машин

Суть такова.

Есть сервер контейнеров OpenVZ (Centos 6), все они имеют белые адреса и интерфейсы veth, выходят в интернет через bridge на хостовой машине. Есть желание поднять host-to-host IPSec туннель до сервера, таким образом, чтобы:

  • Туннель был только один до хостовой машины
  • Через него можно было связываться со всеми контенерами на хосте
  • Как следствие из предыдущего пункта, отсутствие необходимости в строить отдельный туннель до каждого контейнера

Возможно ли такое?

Пока что есть просто туннель между хостовой машиной и удаленным хостом, но как при этом объяснить что трафик нужно гнать через туннель? Манипуляции с leftsubnets пока ни к чему не привели, до указанного контейнера трафик идет мимо туннеля.

Пример конфига:

version 2.0

config setup
  protostack = netkey
  nat_traversal = off
  oe = off
  syslog = local5.info

conn hn3-office
  type = tunnel
  authby = secret
  ike = "aes-sha1;modp2048"
  phase2 = esp
  phase2alg = "aes-sha1;modp2048"
  auto = start
  left = x.x.x.x
  right = y.y.y.y
  leftsubnets = { z.z.z.z/32 }

 , , ,

trancefer ()

косяк с ipsec

Всем привет! есть openwrt на нем поднял ipsec/l2tp openswan, при старте появляется ошибка,

Aug 27 16:10:04 gw daemon.err ipsec_setup: Using NETKEY(XFRM) stack
Aug 27 16:10:04 gw kern.warn kernel: [13632.990000] ipcomp6: Unknown symbol ipcomp_input (err 0)
Aug 27 16:10:04 gw kern.warn kernel: [13632.990000] ipcomp6: Unknown symbol ipcomp_destroy (err 0)
Aug 27 16:10:04 gw kern.warn kernel: [13633.000000] ipcomp6: Unknown symbol xfrm6_tunnel_alloc_spi (err 0)
Aug 27 16:10:04 gw kern.warn kernel: [13633.010000] ipcomp6: Unknown symbol ipcomp_output (err 0)
Aug 27 16:10:04 gw kern.warn kernel: [13633.010000] ipcomp6: Unknown symbol xfrm6_tunnel_spi_lookup (err 0)
Aug 27 16:10:04 gw kern.warn kernel: [13633.020000] ipcomp6: Unknown symbol ipcomp_init_state (err 0)
Aug 27 16:10:04 gw kern.warn kernel: [13633.030000] ipcomp: Unknown symbol ipcomp_input (err 0)
Aug 27 16:10:04 gw kern.warn kernel: [13633.040000] ipcomp: Unknown symbol ipcomp_destroy (err 0)
Aug 27 16:10:04 gw kern.warn kernel: [13633.040000] ipcomp: Unknown symbol ipcomp_output (err 0)
Aug 27 16:10:04 gw kern.warn kernel: [13633.050000] ipcomp: Unknown symbol ipcomp_init_state (err 0)
Aug 27 16:10:04 gw kern.warn kernel: [13633.060000] xfrm6_tunnel: Unknown symbol xfrm6_tunnel_register (err 0)
Aug 27 16:10:04 gw kern.warn kernel: [13633.070000] xfrm6_tunnel: Unknown symbol xfrm6_tunnel_deregister (err 0)
Aug 27 16:10:04 gw kern.info kernel: [13633.210000] Initializing XFRM netlink socket
Aug 27 16:10:04 gw authpriv.err ipsec__plutorun: Starting Pluto subsystem...
Aug 27 16:10:04 gw daemon.err ipsec_setup: ...Openswan IPsec started
Aug 27 16:10:04 gw user.warn syslog: adjusting ipsec.d to /etc/ipsec.d
Aug 27 16:10:04 gw daemon.err ipsec_setup: Starting Openswan IPsec U2.6.38-gb812c102/K3.3.8...
Aug 27 16:10:05 gw daemon.err ipsec__plutorun: 002 added connection description "L2TP-PSK"
но при этом ipsec стартует, после запуска я пытаюсь подключиться с андройда и при этом выдаются ошибки, прошу помогите с настройкой, уже мыслей нет куда копать. конфига ниже xl2tpd.conf
[global]
port = 1701
access control = no
ipsec saref = yes

[lns default]
exclusive = yes
ip range = 10.20.20.202-10.20.20.210
local ip = 10.20.20.2
length bit = yes
ppp debug = yes
require authentication = yes
name = gw.xx.xx
pppoptfile = /etc/ppp/options.xl2tpd
unix authentication = no
require chap = yes
require pap = yes

конфига ниже ipsec.conf

version 2.0

config setup
   nat_traversal=yes
   virtual_private=%v4:10.20.20.0/24
   oe=off
   protostack=netkey

conn L2TP-PSK
   authby=secret
   pfs=no
   compress=no
   rekey=no
   keyingtries=3
   type=transport
   left=%defaultroute
   leftprotoport=17/1701
   right=%any
   rightsubnet=vhost:%no,%priv
   rightprotoport=17/%any
   auto=add
   forceencaps=yes

tcpdump

15:54:30.138075 IP 194.186.x.x.500 > 80.251.x.x.500: isakmp: phase 1 I ident
15:54:30.139321 IP 80.251.x.x.500 > 194.186.x.x.500: isakmp: phase 1 R ident
15:54:30.192242 IP 194.186.x.x.500 > 80.251.x.x.500: isakmp: phase 1 I ident
15:54:30.210766 IP 80.251.x.x.500 > 194.186.x.x.500: isakmp: phase 1 R ident
15:54:30.262160 IP 194.186.x.x.4500 > 80.251.x.x.4500: NONESP-encap: isakmp: phase 1 I ident[E]
15:54:30.263397 IP 80.251.x.x.4500 > 194.186.x.x.4500: NONESP-encap: isakmp: phase 1 R ident[E]
15:54:30.291531 IP 194.186.x.x.4500 > 80.251.x.x.4500: NONESP-encap: isakmp: phase 2/others I inf[E]
15:54:30.792798 IP 62.67.209.111.443 > 80.251.x.x.36115: UDP, length 42
15:54:31.314989 IP 194.186.x.x.4500 > 80.251.x.x.4500: NONESP-encap: isakmp: phase 2/others I oakley-quick[E]
15:54:31.320069 IP 80.251.x.x.4500 > 194.186.x.x.4500: NONESP-encap: isakmp: phase 2/others R oakley-quick[E]
15:54:31.341903 IP 194.186.x.x.4500 > 80.251.x.x.4500: NONESP-encap: isakmp: phase 2/others I oakley-quick[E]
15:54:31.957513 IP 80.251.x.x.36115 > 62.67.209.111.443: UDP, length 42
15:54:32.141801 IP 194.186.x.x.4500 > 80.251.x.x.4500: UDP-encap: ESP(spi=0xb660786f,seq=0x1), length 116
15:54:34.142939 IP 80.251.x.x.4500 > 194.186.x.x.4500: UDP-encap: ESP(spi=0x0036df9d,seq=0x1), length 164
15:54:34.144132 IP 194.186.x.x.4500 > 80.251.x.x.4500: UDP-encap: ESP(spi=0xb660786f,seq=0x2), length 116
15:54:34.145034 IP 80.251.x.x.4500 > 194.186.x.x.4500: UDP-encap: ESP(spi=0x0036df9d,seq=0x2), length 68
15:54:34.163638 IP 194.186.x.x.4500 > 80.251.x.x.4500: UDP-encap: ESP(spi=0xb660786f,seq=0x3), length 68
15:54:34.164557 IP 80.251.x.x.4500 > 194.186.x.x.4500: UDP-encap: ESP(spi=0x0036df9d,seq=0x3), length 68
15:54:34.184621 IP 194.186.x.x.4500 > 80.251.x.x.4500: UDP-encap: ESP(spi=0xb660786f,seq=0x4), length 84
15:54:34.185402 IP 80.251.x.x.4500 > 194.186.x.x.4500: UDP-encap: ESP(spi=0x0036df9d,seq=0x4), length 84
15:54:34.185583 IP 80.251.x.x.4500 > 194.186.x.x.4500: UDP-encap: ESP(spi=0x0036df9d,seq=0x5), length 68
15:54:34.200142 IP 194.186.x.x.4500 > 80.251.x.x.4500: UDP-encap: ESP(spi=0xb660786f,seq=0x5), length 100
15:54:34.202883 IP 80.251.x.x.4500 > 194.186.x.x.4500: UDP-encap: ESP(spi=0x0036df9d,seq=0x6), length 68
15:54:34.219140 IP 80.251.x.x.4500 > 194.186.x.x.4500: UDP-encap: ESP(spi=0x0036df9d,seq=0x7), length 84
15:54:34.233966 IP 194.186.x.x.4500 > 80.251.x.x.4500: UDP-encap: ESP(spi=0xb660786f,seq=0x6), length 84
15:54:34.234831 IP 80.251.x.x.4500 > 194.186.x.x.4500: UDP-encap: ESP(spi=0x0036df9d,seq=0x8), length 68
15:54:34.235092 IP 80.251.x.x.4500 > 194.186.x.x.4500: UDP-encap: ESP(spi=0x0036df9d,seq=0x9), length 132
15:54:35.236149 IP 80.251.x.x.4500 > 194.186.x.x.4500: UDP-encap: ESP(spi=0x0036df9d,seq=0xa), length 132
15:54:36.237179 IP 80.251.x.x.4500 > 194.186.x.x.4500: UDP-encap: ESP(spi=0x0036df9d,seq=0xb), length 132
логи ниже с роутера
Aug 27 15:54:34 gw daemon.debug xl2tpd[2209]: control_finish: Peer requested tunnel 39053 twice, ignoring second one.
Aug 27 15:54:34 gw daemon.notice xl2tpd[2209]: Connection established to 194.186.x.x, 47573.  Local: 37445, Remote: 39053 (ref=0/0).  LNS session is 'default'
Aug 27 15:54:34 gw daemon.debug xl2tpd[2209]: start_pppd: I'm running: 
Aug 27 15:54:34 gw daemon.debug xl2tpd[2209]: "/usr/sbin/pppd" 
Aug 27 15:54:34 gw daemon.debug xl2tpd[2209]: "passive" 
Aug 27 15:54:34 gw daemon.debug xl2tpd[2209]: "nodetach" 
Aug 27 15:54:34 gw daemon.debug xl2tpd[2209]: "10.20.20.2:10.20.20.202" 
Aug 27 15:54:34 gw daemon.debug xl2tpd[2209]: "auth" 
Aug 27 15:54:34 gw daemon.debug xl2tpd[2209]: "require-pap" 
Aug 27 15:54:34 gw daemon.debug xl2tpd[2209]: "require-chap" 
Aug 27 15:54:34 gw daemon.debug xl2tpd[2209]: "name" 
Aug 27 15:54:34 gw daemon.debug xl2tpd[2209]: "gw.droider.org" 
Aug 27 15:54:34 gw daemon.debug xl2tpd[2209]: "debug" 
Aug 27 15:54:34 gw daemon.info pppd[7433]: Plugin pppol2tp.so loaded.
Aug 27 15:54:34 gw daemon.info pppd[7433]: pppd options in effect:
Aug 27 15:54:34 gw daemon.info pppd[7433]: debug debug		# (from /etc/ppp/options.xl2tpd)
Aug 27 15:54:34 gw daemon.info pppd[7433]: nodetach		# (from command line)
Aug 27 15:54:34 gw daemon.info pppd[7433]: idle 1800		# (from /etc/ppp/options.xl2tpd)
Aug 27 15:54:34 gw daemon.info pppd[7433]: logfile /var/log/xl2tpd.log		# (from /etc/ppp/options.xl2tpd)
Aug 27 15:54:34 gw daemon.info pppd[7433]: maxfail 0		# (from /etc/ppp/options)
Aug 27 15:54:34 gw daemon.info pppd[7433]: connect-delay 5000		# (from /etc/ppp/options.xl2tpd)
Aug 27 15:54:34 gw daemon.info pppd[7433]: dump		# (from /etc/ppp/options.xl2tpd)
Aug 27 15:54:34 gw daemon.info pppd[7433]: plugin pppol2tp.so		# (from command line)
Aug 27 15:54:34 gw daemon.info pppd[7433]: require-mschap-v2		# (from /etc/ppp/options.xl2tpd)
Aug 27 15:54:34 gw daemon.info pppd[7433]: refuse-pap		# (from /etc/ppp/options.xl2tpd)
Aug 27 15:54:34 gw daemon.info pppd[7433]: refuse-eap		# (from /etc/ppp/options.xl2tpd)
Aug 27 15:54:34 gw daemon.info pppd[7433]: name gw.droider.org		# (from command line)
Aug 27 15:54:34 gw daemon.debug xl2tpd[2209]: child_handler : pppd terminated for call 55734 by signal 11
Aug 27 15:54:34 gw daemon.info xl2tpd[2209]: call_close: Call 41619 to 194.186.x.x disconnected
Aug 27 15:54:34 gw daemon.debug xl2tpd[2209]: result_code_avp: avp is incorrect size.  8 < 10
Aug 27 15:54:34 gw daemon.warn xl2tpd[2209]: handle_avps: Bad exit status handling attribute 1 (Result Code) on mandatory packet.
Aug 27 15:54:34 gw daemon.debug xl2tpd[2209]: Terminating pppd: sending TERM signal to pid 7433
Aug 27 15:54:34 gw daemon.info xl2tpd[2209]: Connection 39053 closed to 194.186.x.x, port 47573 (Result Code: expected at least 10, got 8)
Aug 27 15:54:39 gw daemon.debug xl2tpd[2209]: Unable to deliver closing message for tunnel 37445. Destroying anyway.

где может быть ошибка ?

 , ,

taku ()

ipsec+openswan centos 7 хосты сетей не пингуют друг друга

Здравствуйте! Долго гуглил, но так и не решил проблему сам. Может быть здесь кто что подскажет. Итак. Жили-были два шлюза каждый из которых отапливал инетом маленькую сеть. Понадобилось эти сети соединить в одну (через инет соотвественно). Поставил openswan, поднял туннель, а хосты данных сетей не пингуют друг друга. Но не всё так плохо. Хосты одной сети пингуют шлюз другой. Это касается обоих сеток. Пинги со шлюза А до хостов сети B не идут. Пинги со шлюза на шлюз идут. Привожу настройки сервера А. Интерфейсы: enp2s3=инет, enp2s1=локалко 192.168.0.0/24. Сеть А: 192.168.0.0/24 (gw 192.168.0.1), Сеть B (другого шлюза): 172.17.1.0/24 (gw 172.17.1.254) Пинг ходит с хоста 192.168.0.20 на 172.17.1.254 (gw), а на хост, например 172.17.1.1, уже нет. То же самое и со стороны сети B. Моя задача в целом поднять классический vpn site-2-site c простой авторизацией по psk, но у меня не получается. Мозгов не хватает. Очень прошу более умных людей помочь мне. Это боевой проект, который нужно сдавать в эксплуатацию. Если нужно выложу настройки ipsec.

Содержимое iptables:

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22347 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A INPUT  -p udp --sport 500 --dport 500 -j ACCEPT
-A INPUT  -p udp --sport 4500 --dport 4500 -j ACCEPT
-A OUTPUT -p udp --sport 500 --dport 500 -j ACCEPT
-A OUTPUT -p udp --sport 4500 --dport 4500 -j ACCEPT
-A INPUT  -p 50 -j ACCEPT
-A OUTPUT -p 50 -j ACCEPT
-A INPUT -j ACCEPT --source 172.17.1.0/24
-A FORWARD -i enp2s3 -o enp2s1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i enp2s1 -o enp2s3 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -p all -s 192.168.0.0/24 -d 172.17.1.0/24 -j ACCEPT
-A FORWARD -p all -s 172.17.1.0/24 -d 192.168.0.0/24 -j ACCEPT
COMMIT
# Completed on Sun Aug 16 18:34:00 2015
# Generated by iptables-save v1.4.21 on Sun Aug 16 18:34:00 2015
*nat
:PREROUTING ACCEPT [1906587:150963102]
:INPUT ACCEPT [1572:105074]
:OUTPUT ACCEPT [2008:565933]
:POSTROUTING ACCEPT [630:206640]
#-A POSTROUTING -o enp2s3 -j MASQUERADE
#-A POSTROUTING -o enp2s3 -s 192.168.0.0/24 ! -d 172.17.1.0/24 -j MASQUERADE
-A POSTROUTING -o enp2s3 -s 192.168.0.0/24 -d 172.17.1.0/24 -j ACCEPT
-A POSTROUTING -o enp2s3 -s 192.168.0.0/24 -j MASQUERADE



А вот что говорит ipsec status:

000 using kernel interface: netkey
000 interface lo/lo 127.0.0.1@4500
000 interface lo/lo 127.0.0.1@500
000 interface enp2s1/enp2s1 192.168.0.1@4500
000 interface enp2s1/enp2s1 192.168.0.1@500
000 interface enp2s3/enp2s3 80.250.236.106@4500
000 interface enp2s3/enp2s3 80.250.236.106@500
000  
000  
000 fips mode=disabled;
000 SElinux=disabled
000  
000 config setup options:
000  
000 configdir=/etc, configfile=/etc/ipsec.conf, secrets=/etc/ipsec.secrets, ipsecdir=/etc/ipsec.d, dumpdir=/var/run/pluto/, statsbin=unset
000 sbindir=/usr/sbin, libexecdir=/usr/libexec/ipsec
000 pluto_version=3.12, pluto_vendorid=OE-Libreswan-3.12
000 nhelpers=-1, uniqueids=yes, force-busy=no
000 ikeport=500, strictcrlpolicy=no, crlcheckinterval=0, listen=<any>
000 secctx-attr-value=32001
000 myid = (none)
000 debug none
000  
000 nat-traversal=yes, keep-alive=20, nat-ikeport=4500
000 virtual-private (%priv):
000 - allowed subnets: 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 25.0.0.0/8, 100.64.0.0/10, fd00::/8, fe80::/10
000  
000 ESP algorithms supported:
000  
000 algorithm ESP encrypt: id=3, name=ESP_3DES, ivlen=8, keysizemin=192, keysizemax=192
000 algorithm ESP encrypt: id=6, name=ESP_CAST, ivlen=8, keysizemin=128, keysizemax=128
000 algorithm ESP encrypt: id=11, name=ESP_NULL, ivlen=0, keysizemin=0, keysizemax=0
000 algorithm ESP encrypt: id=12, name=ESP_AES, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=13, name=ESP_AES_CTR, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=14, name=ESP_AES_CCM_A, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=15, name=ESP_AES_CCM_B, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=16, name=ESP_AES_CCM_C, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=18, name=ESP_AES_GCM_A, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=19, name=ESP_AES_GCM_B, ivlen=12, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=20, name=ESP_AES_GCM_C, ivlen=16, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=22, name=ESP_CAMELLIA, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=252, name=ESP_SERPENT, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=253, name=ESP_TWOFISH, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm AH/ESP auth: id=1, name=AUTH_ALGORITHM_HMAC_MD5, keysizemin=128, keysizemax=128
000 algorithm AH/ESP auth: id=2, name=AUTH_ALGORITHM_HMAC_SHA1, keysizemin=160, keysizemax=160
000 algorithm AH/ESP auth: id=5, name=AUTH_ALGORITHM_HMAC_SHA2_256, keysizemin=256, keysizemax=256
000 algorithm AH/ESP auth: id=6, name=AUTH_ALGORITHM_HMAC_SHA2_384, keysizemin=384, keysizemax=384
000 algorithm AH/ESP auth: id=7, name=AUTH_ALGORITHM_HMAC_SHA2_512, keysizemin=512, keysizemax=512
000 algorithm AH/ESP auth: id=8, name=AUTH_ALGORITHM_HMAC_RIPEMD, keysizemin=160, keysizemax=160
000 algorithm AH/ESP auth: id=9, name=AUTH_ALGORITHM_AES_XCBC, keysizemin=128, keysizemax=128
000 algorithm AH/ESP auth: id=251, name=AUTH_ALGORITHM_NULL_KAME, keysizemin=0, keysizemax=0
000  
000 IKE algorithms supported:
000  
000 algorithm IKE encrypt: v1id=0, v1name=0??, v2id=16, v2name=AES_CCM_C, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: v1id=0, v1name=0??, v2id=15, v2name=AES_CCM_B, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: v1id=0, v1name=0??, v2id=14, v2name=AES_CCM_A, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: v1id=5, v1name=OAKLEY_3DES_CBC, v2id=3, v2name=3DES, blocksize=8, keydeflen=192
000 algorithm IKE encrypt: v1id=24, v1name=OAKLEY_CAMELLIA_CTR, v2id=24, v2name=CAMELLIA_CTR, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: v1id=8, v1name=OAKLEY_CAMELLIA_CBC, v2id=23, v2name=CAMELLIA_CBC, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: v1id=20, v1name=OAKLEY_AES_GCM_C, v2id=20, v2name=AES_GCM_C, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: v1id=19, v1name=OAKLEY_AES_GCM_B, v2id=19, v2name=AES_GCM_B, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: v1id=18, v1name=OAKLEY_AES_GCM_A, v2id=18, v2name=AES_GCM_A, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: v1id=13, v1name=OAKLEY_AES_CTR, v2id=13, v2name=AES_CTR, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: v1id=7, v1name=OAKLEY_AES_CBC, v2id=12, v2name=AES_CBC, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: v1id=65004, v1name=OAKLEY_SERPENT_CBC, v2id=65004, v2name=SERPENT_CBC, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: v1id=65005, v1name=OAKLEY_TWOFISH_CBC, v2id=65005, v2name=TWOFISH_CBC, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: v1id=65289, v1name=OAKLEY_TWOFISH_CBC_SSH, v2id=65289, v2name=TWOFISH_CBC_SSH, blocksize=16, keydeflen=128
000 algorithm IKE hash: id=1, name=OAKLEY_MD5, hashlen=16
000 algorithm IKE hash: id=2, name=OAKLEY_SHA1, hashlen=20
000 algorithm IKE hash: id=4, name=OAKLEY_SHA2_256, hashlen=32
000 algorithm IKE hash: id=5, name=OAKLEY_SHA2_384, hashlen=48
000 algorithm IKE hash: id=6, name=OAKLEY_SHA2_512, hashlen=64
000 algorithm IKE hash: id=9, name=DISABLED-OAKLEY_AES_XCBC, hashlen=16
000 algorithm IKE dh group: id=2, name=OAKLEY_GROUP_MODP1024, bits=1024
000 algorithm IKE dh group: id=5, name=OAKLEY_GROUP_MODP1536, bits=1536
000 algorithm IKE dh group: id=14, name=OAKLEY_GROUP_MODP2048, bits=2048
000 algorithm IKE dh group: id=15, name=OAKLEY_GROUP_MODP3072, bits=3072
000 algorithm IKE dh group: id=16, name=OAKLEY_GROUP_MODP4096, bits=4096
000 algorithm IKE dh group: id=17, name=OAKLEY_GROUP_MODP6144, bits=6144
000 algorithm IKE dh group: id=18, name=OAKLEY_GROUP_MODP8192, bits=8192
000 algorithm IKE dh group: id=22, name=OAKLEY_GROUP_DH22, bits=1024
000 algorithm IKE dh group: id=23, name=OAKLEY_GROUP_DH23, bits=2048
000 algorithm IKE dh group: id=24, name=OAKLEY_GROUP_DH24, bits=2048
000  
000 stats db_ops: {curr_cnt, total_cnt, maxsz} :context={0,2,64} trans={0,2,6144} attrs={0,2,4096} 
000  
000 Connection list:
000  
000 "tunnel": 192.168.0.0/24===80.250.236.106<80.250.236.106>...80.250.236.107<80.250.236.107>===172.17.1.0/24; erouted; eroute owner: #4
000 "tunnel":     oriented; my_ip=192.168.0.1; their_ip=172.17.1.254
000 "tunnel":   xauth info: us:none, them:none,  my_xauthuser=[any]; their_xauthuser=[any]
000 "tunnel":   modecfg info: us:none, them:none, modecfg policy:push, dns1:unset, dns2:unset, domain:unset, banner:unset;
000 "tunnel":   labeled_ipsec:no, loopback:no; 
000 "tunnel":    policy_label:unset; 
000 "tunnel":   ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0;
000 "tunnel":   sha2_truncbug:no; initial_contact:no; cisco_unity:no; send_vendorid:no;
000 "tunnel":   policy: PSK+ENCRYPT+TUNNEL+PFS+UP+IKEV2_ALLOW+SAREF_TRACK+IKE_FRAG_ALLOW; 
000 "tunnel":   conn_prio: 24,24; interface: enp2s3; metric: 0; mtu: unset; sa_prio:auto;
000 "tunnel":   newest ISAKMP SA: #1; newest IPsec SA: #4; 
000 "tunnel":   IKE algorithms wanted: AES_CBC(7)_256-SHA1(2)_000-MODP2048(14)
000 "tunnel":   IKE algorithms found:  AES_CBC(7)_256-SHA1(2)_160-MODP2048(14)
000 "tunnel":   IKE algorithm newest: AES_CBC_256-SHA1-MODP2048
000 "tunnel":   ESP algorithms wanted: AES(12)_256-SHA1(2)_000; pfsgroup=MODP2048(14)
000 "tunnel":   ESP algorithms loaded: AES(12)_256-SHA1(2)_000
000 "tunnel":   ESP algorithm newest: AES_256-HMAC_SHA1; pfsgroup=MODP2048
000  
000 Total IPsec connections: loaded 1, active 1
000  
000 State list:
000  
000 #4: "tunnel":500 STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 27728s; newest IPSEC; eroute owner; isakmp#1; idle; import:admin initiate
000 #4: "tunnel" esp.1d4896fd@80.250.236.107 esp.76119a5a@80.250.236.106 tun.0@80.250.236.107 tun.0@80.250.236.106 ref=0 refhim=4294901761 Traffic: ESPin=5KB ESPout=5KB! ESPmax=4194303B 
000 #1: "tunnel":500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 2287s; newest ISAKMP; lastdpd=-1s(seq in:0 out:0); idle; import:admin initiate
000 #3: "tunnel":500 STATE_QUICK_R2 (IPsec SA established); EVENT_SA_REPLACE in 28205s; isakmp#2; idle; import:not set
000 #3: "tunnel" esp.61505ddb@80.250.236.107 esp.60fd857c@80.250.236.106 tun.0@80.250.236.107 tun.0@80.250.236.106 ref=0 refhim=4294901761 Traffic: ESPin=0B ESPout=0B! ESPmax=4194303B 
000 #2: "tunnel":500 STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 3005s; lastdpd=-1s(seq in:0 out:0); idle; import:not set

 , , , ,

aganemlin ()

Экспорт/импорт ключа OpenSWAN

Есть необходимость поднять туннель между OpenBSD/isakmpd и CentOS/OpenSWAN с использованием RSA ключей.

В OpenBSD используется openssl и ключи формата PEM, а в OpenSWAN - NSS и ключи в собственой БД.

Допустим сгенерировал на стороне OpenSWAN стандартно пару ключей через ipsec newhostkey, в NSS db появилась запись:

certutil -K -d dbm:/etc/ipsec.d

certutil: Checking token "NSS Certificate DB" in slot "NSS User Private Key and Certificate Services"
< 0> rsa      a23cc83abb43b202262bb708381ccd8188173fd9   (orphan)

Как теперь выгрузить его открытую часть в PEM? Согласно http://www.linuxsysadmintutorials.com/extract-pem-certificates-and-keys-from-a-shared-nss-db/

надо выгружать через pk12tool, НО в статье речь идет о выгрузке сертификатов а не голого RSA ключа. Для pk12tool нужно указывать флаг -n и передавать имя сертификата, но что делать если сертификата нет?

certutil -L -d dbm:/etc/ipsec.d 

Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI


Спасибо.

 , , , ,

trancefer ()

vpn

Добрый день!

Никак не могу подключиться к серверу l2tp, подозреваю что дело в строчке «no auth is possible», может кто нибудь знает в чем проблема. Используется gui оболочка l2tp ipsec vpn manager

victoria@samsung-laptop:~$ tail -f /var/log/syslog
Feb 17 21:17:01 samsung-laptop L2tpIPsecVpnControlDaemon: Command ipsec setup stop finished with exit code 0
Feb 17 21:17:01 samsung-laptop L2tpIPsecVpnControlDaemon: Closing client connection
Feb 17 21:17:01 samsung-laptop kernel: [ 4670.653200] psmouse serio1: Touchpad at isa0060/serio1/input0 lost sync at byte 6
Feb 17 21:17:01 samsung-laptop kernel: [ 4670.675343] psmouse serio1: Touchpad at isa0060/serio1/input0 - driver resynced.
Feb 17 21:17:01 samsung-laptop CRON[861]: (root) CMD (   cd / && run-parts --report /etc/cron.hourly)
Feb 17 21:25:44 samsung-laptop wpa_supplicant[830]: message repeated 8 times: [ wlan0: CTRL-EVENT-SCAN-STARTED ]
Feb 17 21:25:45 samsung-laptop wpa_supplicant[830]: nl80211: send_and_recv->nl_recvmsgs failed: -33
Feb 17 21:27:44 samsung-laptop wpa_supplicant[830]: wlan0: CTRL-EVENT-SCAN-STARTED 
Feb 17 21:31:29 samsung-laptop kernel: [ 5539.037904] psmouse serio1: Touchpad at isa0060/serio1/input0 lost sync at byte 6
Feb 17 21:31:29 samsung-laptop kernel: [ 5539.060539] psmouse serio1: Touchpad at isa0060/serio1/input0 - driver resynced.
Feb 17 21:35:05 samsung-laptop L2tpIPsecVpnControlDaemon: Opening client connection
Feb 17 21:35:05 samsung-laptop L2tpIPsecVpnControlDaemon: Opening client connection
Feb 17 21:35:05 samsung-laptop L2tpIPsecVpnControlDaemon: Closing client connection
Feb 17 21:35:05 samsung-laptop L2tpIPsecVpnControlDaemon: Executing command ipsec setup start
Feb 17 21:35:05 samsung-laptop kernel: [ 5754.372504] NET: Registered protocol family 15
Feb 17 21:35:05 samsung-laptop ipsec_setup: Starting Openswan IPsec U2.6.38/K3.13.0-45-generic...
Feb 17 21:35:05 samsung-laptop ipsec_setup: Using NETKEY(XFRM) stack
Feb 17 21:35:05 samsung-laptop kernel: [ 5754.517187] Initializing XFRM netlink socket
Feb 17 21:35:05 samsung-laptop kernel: [ 5754.667673] AVX instructions are not detected.
Feb 17 21:35:05 samsung-laptop kernel: [ 5754.695577] AVX instructions are not detected.
Feb 17 21:35:05 samsung-laptop kernel: [ 5754.714107] AVX instructions are not detected.
Feb 17 21:35:05 samsung-laptop kernel: [ 5754.755675] AVX instructions are not detected.
Feb 17 21:35:05 samsung-laptop kernel: [ 5754.777952] AVX instructions are not detected.
Feb 17 21:35:05 samsung-laptop kernel: [ 5754.821884] AVX or AES-NI instructions are not detected.
Feb 17 21:35:05 samsung-laptop kernel: [ 5754.856145] AVX or AES-NI instructions are not detected.
Feb 17 21:35:05 samsung-laptop ipsec_setup: ...Openswan IPsec started
Feb 17 21:35:05 samsung-laptop L2tpIPsecVpnControlDaemon: Command ipsec setup start finished with exit code 0
Feb 17 21:35:05 samsung-laptop L2tpIPsecVpnControlDaemon: Executing command service xl2tpd start
Feb 17 21:35:05 samsung-laptop ipsec__plutorun: adjusting ipsec.d to /etc/ipsec.d
Feb 17 21:35:05 samsung-laptop pluto: adjusting ipsec.d to /etc/ipsec.d
Feb 17 21:35:05 samsung-laptop xl2tpd[1021]: setsockopt recvref[30]: Protocol not available
Feb 17 21:35:05 samsung-laptop xl2tpd[1021]: This binary does not support kernel L2TP.
Feb 17 21:35:05 samsung-laptop xl2tpd[1024]: xl2tpd version xl2tpd-1.3.6 started on samsung-laptop PID:1024
Feb 17 21:35:05 samsung-laptop xl2tpd[1024]: Written by Mark Spencer, Copyright (C) 1998, Adtran, Inc.
Feb 17 21:35:05 samsung-laptop xl2tpd[1024]: Forked by Scott Balmos and David Stipp, (C) 2001
Feb 17 21:35:05 samsung-laptop xl2tpd[1024]: Inherited by Jeff McAdams, (C) 2002
Feb 17 21:35:05 samsung-laptop xl2tpd[1024]: Forked again by Xelerance (www.xelerance.com) (C) 2006
Feb 17 21:35:05 samsung-laptop xl2tpd[1024]: Listening on IP address 0.0.0.0, port 1701
Feb 17 21:35:05 samsung-laptop L2tpIPsecVpnControlDaemon: Command service xl2tpd start finished with exit code 0
Feb 17 21:35:06 samsung-laptop ipsec__plutorun: 002 added connection description "home"
Feb 17 21:35:06 samsung-laptop L2tpIPsecVpnControlDaemon: Executing command ipsec auto --ready
Feb 17 21:35:06 samsung-laptop L2tpIPsecVpnControlDaemon: Command ipsec auto --ready finished with exit code 0
Feb 17 21:35:06 samsung-laptop L2tpIPsecVpnControlDaemon: Executing command ipsec auto --up home
Feb 17 21:35:06 samsung-laptop L2tpIPsecVpnControlDaemon: Command ipsec auto --up home finished with exit code 0
Feb 17 21:35:07 samsung-laptop L2tpIPsecVpnControlDaemon: Closing client connection
Feb 17 21:35:07 samsung-laptop xl2tpd[1024]: Connecting to host techinfo.su, port 1701
Feb 17 21:35:07 samsung-laptop xl2tpd[1024]: Connection established to 46.188.44.37, 1701.  Local: 44804, Remote: 32801 (ref=0/0).
Feb 17 21:35:07 samsung-laptop xl2tpd[1024]: Calling on tunnel 44804
Feb 17 21:35:07 samsung-laptop xl2tpd[1024]: Call established with 46.188.44.37, Local: 12324, Remote: 17835, Serial: 1 (ref=0/0)
Feb 17 21:35:07 samsung-laptop xl2tpd[1024]: start_pppd: I'm running: 
Feb 17 21:35:07 samsung-laptop xl2tpd[1024]: "/usr/sbin/pppd" 
Feb 17 21:35:07 samsung-laptop xl2tpd[1024]: "passive" 
Feb 17 21:35:07 samsung-laptop xl2tpd[1024]: "nodetach" 
Feb 17 21:35:07 samsung-laptop xl2tpd[1024]: ":" 
Feb 17 21:35:07 samsung-laptop xl2tpd[1024]: "file" 
Feb 17 21:35:07 samsung-laptop xl2tpd[1024]: "/etc/ppp/home.options.xl2tpd" 
Feb 17 21:35:07 samsung-laptop xl2tpd[1024]: "/dev/pts/2" 
Feb 17 21:35:07 samsung-laptop pppd[1078]: Plugin passprompt.so loaded.
Feb 17 21:35:07 samsung-laptop pppd[1078]: pppd options in effect:
Feb 17 21:35:07 samsung-laptop pppd[1078]: debug#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:07 samsung-laptop pppd[1078]: nodetach#011#011# (from command line)
Feb 17 21:35:07 samsung-laptop pppd[1078]: idle 72000#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:07 samsung-laptop pppd[1078]: ktune#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:07 samsung-laptop pppd[1078]: dump#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:07 samsung-laptop pppd[1078]: plugin passprompt.so#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:07 samsung-laptop pppd[1078]: noauth#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:07 samsung-laptop pppd[1078]: refuse-pap#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:07 samsung-laptop pppd[1078]: refuse-chap#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:07 samsung-laptop pppd[1078]: refuse-mschap#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:07 samsung-laptop pppd[1078]: refuse-eap#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:07 samsung-laptop pppd[1078]: name tukatsinsky#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:07 samsung-laptop pppd[1078]: remotename #011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:07 samsung-laptop pppd[1078]: promptprog /usr/bin/L2tpIPsecVpn#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:07 samsung-laptop pppd[1078]: /dev/pts/2#011#011# (from command line)
Feb 17 21:35:07 samsung-laptop pppd[1078]: lock#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:07 samsung-laptop pppd[1078]: record /var/log/pppd#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:07 samsung-laptop pppd[1078]: crtscts#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:07 samsung-laptop pppd[1078]: modem#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:07 samsung-laptop pppd[1078]: asyncmap 0#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:07 samsung-laptop pppd[1078]: passive#011#011# (from command line)
Feb 17 21:35:07 samsung-laptop pppd[1078]: lcp-echo-failure 4#011#011# (from /etc/ppp/options)
Feb 17 21:35:07 samsung-laptop pppd[1078]: lcp-echo-interval 30#011#011# (from /etc/ppp/options)
Feb 17 21:35:07 samsung-laptop pppd[1078]: hide-password#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:07 samsung-laptop pppd[1078]: ipcp-accept-local#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:07 samsung-laptop pppd[1078]: ipcp-accept-remote#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:07 samsung-laptop pppd[1078]: ipparam L2tpIPsecVpn-home#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:07 samsung-laptop pppd[1078]: noproxyarp#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:07 samsung-laptop pppd[1078]: :#011#011# (from command line)
Feb 17 21:35:07 samsung-laptop pppd[1078]: noipx#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:07 samsung-laptop pppd[1078]: pppd 2.4.5 started by root, uid 0
Feb 17 21:35:07 samsung-laptop pppd[1078]: using channel 1734
Feb 17 21:35:07 samsung-laptop pppd[1078]: Using interface ppp0
Feb 17 21:35:07 samsung-laptop pppd[1078]: Connect: ppp0 <--> /dev/pts/4
Feb 17 21:35:07 samsung-laptop pppd[1078]: sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x564654a8> <pcomp> <accomp>]
Feb 17 21:35:07 samsung-laptop NetworkManager[793]:    SCPlugin-Ifupdown: devices added (path: /sys/devices/virtual/net/ppp0, iface: ppp0)
Feb 17 21:35:07 samsung-laptop NetworkManager[793]:    SCPlugin-Ifupdown: device added (path: /sys/devices/virtual/net/ppp0, iface: ppp0): no ifupdown configuration found.
Feb 17 21:35:07 samsung-laptop NetworkManager[793]: <warn> /sys/devices/virtual/net/ppp0: couldn't determine device driver; ignoring...
Feb 17 21:35:07 samsung-laptop pppd[1078]: rcvd [LCP ConfAck id=0x1 <asyncmap 0x0> <magic 0x564654a8> <pcomp> <accomp>]
Feb 17 21:35:10 samsung-laptop pppd[1078]: rcvd [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap MD5> <magic 0xf475f015> <pcomp> <accomp>]
Feb 17 21:35:10 samsung-laptop pppd[1078]: No auth is possible
Feb 17 21:35:10 samsung-laptop pppd[1078]: sent [LCP ConfRej id=0x1 <auth chap MD5>]
Feb 17 21:35:10 samsung-laptop pppd[1078]: sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x564654a8> <pcomp> <accomp>]
Feb 17 21:35:10 samsung-laptop pppd[1078]: rcvd [LCP ConfReq id=0x2 <asyncmap 0x0> <magic 0xf475f015> <pcomp> <accomp>]
Feb 17 21:35:10 samsung-laptop pppd[1078]: sent [LCP ConfAck id=0x2 <asyncmap 0x0> <magic 0xf475f015> <pcomp> <accomp>]
Feb 17 21:35:10 samsung-laptop pppd[1078]: rcvd [LCP ConfAck id=0x1 <asyncmap 0x0> <magic 0x564654a8> <pcomp> <accomp>]
Feb 17 21:35:10 samsung-laptop pppd[1078]: sent [LCP EchoReq id=0x0 magic=0x564654a8]
Feb 17 21:35:10 samsung-laptop pppd[1078]: sent [CCP ConfReq id=0x1 <deflate 15> <deflate(old#) 15> <bsd v1 15>]
Feb 17 21:35:10 samsung-laptop pppd[1078]: sent [IPCP ConfReq id=0x1 <compress VJ 0f 01> <addr 0.0.0.0>]
Feb 17 21:35:10 samsung-laptop pppd[1078]: rcvd [LCP EchoReq id=0x0 magic=0xf475f015]
Feb 17 21:35:10 samsung-laptop pppd[1078]: sent [LCP EchoRep id=0x0 magic=0x564654a8]
Feb 17 21:35:10 samsung-laptop pppd[1078]: rcvd [LCP TermReq id=0x3 "peer refused to authenticate"]
Feb 17 21:35:10 samsung-laptop pppd[1078]: LCP terminated by peer (peer refused to authenticate)
Feb 17 21:35:10 samsung-laptop pppd[1078]: sent [LCP TermAck id=0x3]
Feb 17 21:35:10 samsung-laptop xl2tpd[1024]: control_finish: Connection closed to 46.188.44.37, serial 1 ()
Feb 17 21:35:10 samsung-laptop xl2tpd[1024]: Terminating pppd: sending TERM signal to pid 1078
Feb 17 21:35:10 samsung-laptop pppd[1078]: Terminating on signal 15
Feb 17 21:35:10 samsung-laptop pppd[1078]: Modem hangup
Feb 17 21:35:10 samsung-laptop pppd[1078]: Connection terminated.
Feb 17 21:35:10 samsung-laptop NetworkManager[793]:    SCPlugin-Ifupdown: devices removed (path: /sys/devices/virtual/net/ppp0, iface: ppp0)
Feb 17 21:35:10 samsung-laptop pppd[1078]: Script pppd (charshunt) finished (pid 1079), status = 0x0
Feb 17 21:35:10 samsung-laptop pppd[1078]: Exit.
Feb 17 21:35:11 samsung-laptop xl2tpd[1024]: Calling on tunnel 44804
Feb 17 21:35:11 samsung-laptop xl2tpd[1024]: Call established with 46.188.44.37, Local: 41337, Remote: 42182, Serial: 2 (ref=0/0)
Feb 17 21:35:11 samsung-laptop xl2tpd[1024]: start_pppd: I'm running: 
Feb 17 21:35:11 samsung-laptop xl2tpd[1024]: "/usr/sbin/pppd" 
Feb 17 21:35:11 samsung-laptop xl2tpd[1024]: "passive" 
Feb 17 21:35:11 samsung-laptop xl2tpd[1024]: "nodetach" 
Feb 17 21:35:11 samsung-laptop xl2tpd[1024]: ":" 
Feb 17 21:35:11 samsung-laptop xl2tpd[1024]: "file" 
Feb 17 21:35:11 samsung-laptop xl2tpd[1024]: "/etc/ppp/home.options.xl2tpd" 
Feb 17 21:35:11 samsung-laptop xl2tpd[1024]: "/dev/pts/2" 
Feb 17 21:35:11 samsung-laptop pppd[1094]: Plugin passprompt.so loaded.
Feb 17 21:35:11 samsung-laptop pppd[1094]: pppd options in effect:
Feb 17 21:35:11 samsung-laptop pppd[1094]: debug#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:11 samsung-laptop pppd[1094]: nodetach#011#011# (from command line)
Feb 17 21:35:11 samsung-laptop pppd[1094]: idle 72000#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:11 samsung-laptop pppd[1094]: ktune#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:11 samsung-laptop pppd[1094]: dump#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:11 samsung-laptop pppd[1094]: plugin passprompt.so#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:11 samsung-laptop pppd[1094]: noauth#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:11 samsung-laptop pppd[1094]: refuse-pap#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:11 samsung-laptop pppd[1094]: refuse-chap#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:11 samsung-laptop pppd[1094]: refuse-mschap#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:11 samsung-laptop pppd[1094]: refuse-eap#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:11 samsung-laptop pppd[1094]: name tukatsinsky#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:11 samsung-laptop pppd[1094]: remotename #011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:11 samsung-laptop pppd[1094]: promptprog /usr/bin/L2tpIPsecVpn#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:11 samsung-laptop pppd[1094]: /dev/pts/2#011#011# (from command line)
Feb 17 21:35:11 samsung-laptop pppd[1094]: lock#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:11 samsung-laptop pppd[1094]: record /var/log/pppd#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:11 samsung-laptop pppd[1094]: crtscts#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:11 samsung-laptop pppd[1094]: modem#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:11 samsung-laptop pppd[1094]: asyncmap 0#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:11 samsung-laptop pppd[1094]: passive#011#011# (from command line)
Feb 17 21:35:11 samsung-laptop pppd[1094]: lcp-echo-failure 4#011#011# (from /etc/ppp/options)
Feb 17 21:35:11 samsung-laptop pppd[1094]: lcp-echo-interval 30#011#011# (from /etc/ppp/options)
Feb 17 21:35:11 samsung-laptop pppd[1094]: hide-password#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:11 samsung-laptop pppd[1094]: ipcp-accept-local#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:11 samsung-laptop pppd[1094]: ipcp-accept-remote#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:11 samsung-laptop pppd[1094]: ipparam L2tpIPsecVpn-home#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:11 samsung-laptop pppd[1094]: noproxyarp#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:11 samsung-laptop pppd[1094]: :#011#011# (from command line)
Feb 17 21:35:11 samsung-laptop pppd[1094]: noipx#011#011# (from /etc/ppp/home.options.xl2tpd)
Feb 17 21:35:11 samsung-laptop pppd[1094]: pppd 2.4.5 started by root, uid 0
Feb 17 21:35:11 samsung-laptop pppd[1094]: using channel 1735
Feb 17 21:35:11 samsung-laptop pppd[1094]: Using interface ppp0
Feb 17 21:35:11 samsung-laptop pppd[1094]: Connect: ppp0 <--> /dev/pts/4
Feb 17 21:35:11 samsung-laptop pppd[1094]: sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x772e752f> <pcomp> <accomp>]
Feb 17 21:35:11 samsung-laptop NetworkManager[793]:    SCPlugin-Ifupdown: devices added (path: /sys/devices/virtual/net/ppp0, iface: ppp0)
Feb 17 21:35:11 samsung-laptop NetworkManager[793]:    SCPlugin-Ifupdown: device added (path: /sys/devices/virtual/net/ppp0, iface: ppp0): no ifupdown configuration found.
Feb 17 21:35:11 samsung-laptop NetworkManager[793]: <warn> /sys/devices/virtual/net/ppp0: couldn't determine device driver; ignoring...
Feb 17 21:35:11 samsung-laptop pppd[1094]: rcvd [LCP ConfReq id=0x1 <asyncmap 0x0> <auth chap MD5> <magic 0xf22878d1> <pcomp> <accomp>]
Feb 17 21:35:11 samsung-laptop pppd[1094]: No auth is possible
Feb 17 21:35:11 samsung-laptop pppd[1094]: sent [LCP ConfRej id=0x1 <auth chap MD5>]
Feb 17 21:35:11 samsung-laptop pppd[1094]: rcvd [LCP ConfReq id=0x2 <asyncmap 0x0> <magic 0xf22878d1> <pcomp> <accomp>]
Feb 17 21:35:11 samsung-laptop pppd[1094]: sent [LCP ConfAck id=0x2 <asyncmap 0x0> <magic 0xf22878d1> <pcomp> <accomp>]
Feb 17 21:35:14 samsung-laptop pppd[1094]: sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x772e752f> <pcomp> <accomp>]
Feb 17 21:35:14 samsung-laptop pppd[1094]: rcvd [LCP ConfAck id=0x1 <asyncmap 0x0> <magic 0x772e752f> <pcomp> <accomp>]
Feb 17 21:35:14 samsung-laptop pppd[1094]: sent [LCP EchoReq id=0x0 magic=0x772e752f]
Feb 17 21:35:14 samsung-laptop pppd[1094]: sent [CCP ConfReq id=0x1 <deflate 15> <deflate(old#) 15> <bsd v1 15>]
Feb 17 21:35:14 samsung-laptop pppd[1094]: sent [IPCP ConfReq id=0x1 <compress VJ 0f 01> <addr 0.0.0.0>]
Feb 17 21:35:14 samsung-laptop pppd[1094]: rcvd [LCP EchoReq id=0x0 magic=0xf22878d1]
Feb 17 21:35:14 samsung-laptop pppd[1094]: sent [LCP EchoRep id=0x0 magic=0x772e752f]
Feb 17 21:35:14 samsung-laptop pppd[1094]: rcvd [LCP TermReq id=0x3 "peer refused to authenticate"]
Feb 17 21:35:14 samsung-laptop pppd[1094]: LCP terminated by peer (peer refused to authenticate)
Feb 17 21:35:14 samsung-laptop pppd[1094]: sent [LCP TermAck id=0x3]
Feb 17 21:35:14 samsung-laptop xl2tpd[1024]: control_finish: Connection closed to 46.188.44.37, serial 2 ()
Feb 17 21:35:14 samsung-laptop xl2tpd[1024]: Terminating pppd: sending TERM signal to pid 1094
Feb 17 21:35:14 samsung-laptop pppd[1094]: Terminating on signal 15
Feb 17 21:35:14 samsung-laptop pppd[1094]: Modem hangup
Feb 17 21:35:14 samsung-laptop pppd[1094]: Connection terminated.
 

 , , ,

alex_192168 ()

Скорость при l2tp ipsec соединении

Доброго времени суток! Хотелось бы узнать, является ли скорость примерно в 7 мбит/сек нормальной при использовании в качестве vpn сервера роутера netgear wndr3800 с прошивкой openwrt. ПО - openswan + xl2tpd? Или можно как-то по-быстрее)

 , , , ,

alex_192168 ()

Server: L2TP/Ipsec Openswan Нужна помощь

Конфиги:

ipsec.conf

config setup
	dumpdir=/var/run/pluto/
	nat_traversal=yes
	virtual_private=%v4:192.168.5.0/16
	oe=off
	protostack=netkey
	plutostderrlog=/var/log/pluto.log
	nhelpers=0
conn L2TP-PSK-NAT
	rightsubnet=vhost:%priv
	also=L2TP-PSK-noNAT
	compress=yes
conn L2TP-PSK-noNAT
	authby=secret
	auto=add
	keyingtries=3
	rekey=no
	type=transport
	left=192.168.0.116
	leftprotoport=17/1701
	right=%any
	rightprotoport=17/%any
	dpddelay=15
	dpdtimeout=30
	dpdaction=clear
	pfs=no
	keyexchange=ike
	ike=aes256-sha1,aes128-sha1,3des-sha1
	phase2alg=aes256-sha1,aes128-sha1,3des-sha1
xl2tpd.conf
[global]
ipsec saref = yes
port = 1701
[lns default]
ip range = 192.168.5.10-192.168.5.20
local ip = 192.168.0.116
refuse chap = yes
refuse pap = yes
require authentication = yes
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes
options.xl2tpd
domain ***.no-ip.biz
require-mschap-v2
refuse-mschap
ms-dns 192.168.0.1
asyncmap 0
auth
crtscts
idle 1800
lock
hide-password
local
#debug
name l2tpd
proxyarp
Доброго времени суток, помогите пожалуйста понять в чем проблема.. Хочу сделать для себя свой собственный VPN сервер по протоколу L2TP локально всё получается, подключается между собой, скрины: http://itmages.ru/image/view/2156924/1043f6d2 http://itmages.ru/image/view/2156925/846e3397 http://itmages.ru/image/view/2156927/9906682b Провайдер Beeline-corbina*ru http://itmages.ru/image/view/2156957/cd1b5110 На роуторе настроен перенаправления портов на сервер http://itmages.ru/image/view/2156932/8321af08 Через DDNS noip*com делаю себя видимым но подключатся не хочет.. А вот когда пробую через инет подключится ошибка 809: http://itmages.ru/image/view/2156933/cb6c372a Помогите пожалуйста разобраться в чем проблема?

 , ,

theasd ()

2 туннеля IPsec через NAT

Доброго времени суток! Ситуация такая - нужно законнектить хост с Линуксом (RHEL 6.2) и FortiGate 3950B. Я админ на линуксовом хосте, FortiGate админится не мной. На FortiGate настроено подключение для 2 подсетей, мой линуксовый хост попадает в интернет через NAT. Ставлю на линуксовый хост Openswan, создаю конфиг с подключением к любой из сетей - все работает. Делаю два конфига для каждой из сетей - пингуется только последнее поднятое подключение. Если все запихать в 1 конфиг, используя опцию rightsubnets, то пингуется только та сеть, которая указана первая. Подобные проблемы видел в интернете, но они все без решений. Скорее всего дело в NAT, но как победить его не знаю.

 , ,

dagger_nn ()

Мониторинг IPsec

Коммьюнити, подскажите, чем можно мониторить состояние туннеля IPsec поднятого на CentOS 6.5/openswan с protostack=netkey? Пока что делаю это пингами (zabbix) в сторону хоста в удаленной сети. Может быть есть более красивое решение, позволяющее увидеть кратковременные падения туннеля?

 , , ,

BOOBLIK ()