LINUX.ORG.RU

2
Всего сообщений: 50

Соединение по l2tp c beeline

Во-первых, c сайта beeline :

tp.internet.beeline.ru - для подключения по протоколу L2TP.
IP-адрес, маршруты, шлюз по умолчанию (Default Gateway), сервер доменных имен (DNS) - ваш компьютер или маршрутизатор получает по протоколу DHCP.
Для доступа к интернету используется VPN-подключение по L2TP- (без IPsec) или PPTP- протоколам.

Во-вторых, мои конфиги xl2tpd:

  • /etc/xl2tpd/xl2tpd.conf
    [global]
    access control = yes
    
    [lac beeline]
    lns = tp.internet.beeline.ru;
    pppoptfile = /etc/ppp/options.xl2tpd;
    autodial = yes;
    redial = yes;
    redial timeout = 10;
    require chap = yes;
    require pap = no;
    refuse chap = no;
    refuse pap = yes;
    name = login;
    [/cut]
    
  • /etc/ppp/options.xl2tpd
    unit 0
    remotename beeline
    mru 1460
    mtu 1460
    noaccomp
    nopcomp
    novj
    novjccomp
    nobsdcomp
    nodeflate
    noipx
    nomp
    defaultroute
    name login
    
  • /etc/ppp/chap-secrets
    # Secrets for authentication using CHAP
    # client	server	secret			IP addresses
    login		*	password		*
    

В-третьих, dhcp работает, и при подключении кабеля появляется:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.250.48.1     0.0.0.0         UG    202    0        0 eth0
10.250.48.0     0.0.0.0         255.255.248.0   U     202    0        0 eth0
85.21.78.93     10.250.48.1     255.255.255.255 UGH   202    0        0 eth0
В-четвертых, после запуска xl2tpd имею:
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.250.48.1     0.0.0.0         UG    202    0        0 enp1s0
10.250.48.0     0.0.0.0         255.255.248.0   U     202    0        0 enp1s0
85.21.78.93     10.250.48.1     255.255.255.255 UGH   202    0        0 enp1s0
89.179.75.100   0.0.0.0         255.255.255.255 UH    0      0        0 ppp0

Итог: пингуются только 85.21.78.93 и 89.179.75.100.

Вопросы:

  • Где искать лог xl2tpd?
  • Чяднт?

 , ,

n0name_anonymous ()

XL2TPD Не запускаются скрипты из /etc/ppp/ip-up.d/*

Всем добра. Пытаюсь настроить IPSEC+XL2TPD для офиса. Взял готовый докер-образ https://github.com/hwdsl2/docker-ipsec-vpn-server Все работает, за исключением маршрутов. Не запускаются скрипты из /etc/ppp/ip-up.d/* Права выставлены вроде правильно

root@79d995243d3f:/etc/ppp/ip-up.d# ls -l
total 12
-rwxr-xr-x 1 root root 765 Jun 11 15:18 0000route
-rwxr-xr-x 1 root root 902 Dec  4  2015 0000usepeerdns
-rwxr-xr-x 1 root root 293 Jan 28  2018 exim4

Сам скрипт
#!/bin/sh -e
#    Arg  Name                          Example
#    $1   Interface name                ppp0
#    $2   The tty                       ttyS1
#    $3   The link speed                38400
#    $4   Local IP number               12.34.56.78
#    $5   Peer  IP number               12.34.56.99
#    $6   Optional ``ipparam'' value    foo
rm /testfile
touch /testfile

PPP_IFACE="$1"
PPP_TTY="$2"
PPP_SPEED="$3"
PPP_LOCAL="$4"
PPP_REMOTE="$5"
PPP_IPPARAM="$6"
CMD_WC="/usr/bin/wc"
CMD_AWK="/usr/bin/awk"
CMD_IP="/sbin/ip"

if [ "$PPP_REMOTE" = "192.168.42.254" ];then
    CNT=`$CMD_IP route show 192.168.1.0/24| $CMD_WC | $CMD_AWK '{print $1}'`
    if [ $CNT -eq 0 ];then
        $CMD_IP route add 192.168.1.0/24 via $PPP_REMOTE dev $PPP_IFACE
    fi
fi

 , ,

PATRI0T ()

VPN Сервер (debian, strongswan+xl2tpd) получает но не декодирует ESP пакеты

Хеллоу.

Есть VPN-сервер под Debian 10 на strongSwan 5.7.2 xl2tpd 1.3.12 со следующими конфигами

/etc/ipsec.conf

config setup
   charondebug="dmn 4, mgr 4, ike 4, chd 4, job 4, cfg 4, knl 4, net 4, asn 4, enc 4, lib 4, esp 4, tls 4, tnc 4, imc 4, imv 4, pts 4"

conn vpnserver
   authby=secret
   auto=add
   compress=no
   forceencaps=yes
   type=transport
   left={vpnserver IP}
   replay_window=0
   leftprotoport=17/1701
   right=%any
   rightprotoport=17/%any
   ike=3des-md5-modp1024,3des-sha-modp1024,3des-sha256-modp1024
   esp=3des-md5,3des-sha,3des-sha256,3des-sha384,3des-sha512
   rekey=no

/etc/xl2tpd/xl2tpd.conf

[global]
        ipsec saref = yes
        listen-addr = {vpnserver IP}

[lns default]
        ip range = 10.1.2.3-10.1.2.25
        local ip = 10.1.2.2
        require chap = yes
        refuse pap = yes
        ppp debug = yes
        require authentication = yes
        pppoptfile = /etc/ppp/options.xl2tpd

/etc/ppp/options.xl2tpd

name vpnserver
auth
require-mschap-v2
ms-dns 10.1.2.1
mtu 1372

Подключение успешно устанавливается и как будто бы всё хорошо. Но если со стороны клиента сделать ping 10.1.2.2 -l 321, то получается такая штука

27	Client IP		Server IP		ESP	448		ESP (SPI=0xc77bcd31)
45	Client IP		Server IP		ESP	448		ESP (SPI=0xc77bcd31)
46	10.1.2.3		10.1.2.2		ICMP	365		Echo (ping) request  id=0x0001, seq=2171/31496, ttl=127 (reply in 47)
47	10.1.2.2		10.1.2.3		ICMP	365		Echo (ping) reply    id=0x0001, seq=2171/31496, ttl=64 (request in 46)
48	Server IP		Client IP		ESP	448		ESP (SPI=0xcdd4a265)
52	Client IP		Server IP		ESP	448		ESP (SPI=0xc77bcd31)

То есть ESP пакеты доходят до сервера и на этом всё благополучно заканчивается.

Если же сделать просто ping 10.1.2.2, то всё хорошо:

65	Client IP		Server IP		ESP	152		ESP (SPI=0xc77bcd31)
66	10.1.2.3		10.1.2.2		ICMP	76		Echo (ping) request  id=0x0001, seq=2173/32008, ttl=127 (reply in 67)
67	10.1.2.2		10.1.2.3		ICMP	76		Echo (ping) reply    id=0x0001, seq=2173/32008, ttl=64 (request in 66)
68	Server IP		Client IP		ESP	152		ESP (SPI=0xcdd4a265)
72	Client IP		Server IP		ESP	152		ESP (SPI=0xc77bcd31)
73	10.1.2.3		10.1.2.2		ICMP	76		Echo (ping) request  id=0x0001, seq=2174/32264, ttl=127 (reply in 74)
74	10.1.2.2		10.1.2.3		ICMP	76		Echo (ping) reply    id=0x0001, seq=2174/32264, ttl=64 (request in 73)
75	Server IP		Client IP		ESP	152		ESP (SPI=0xcdd4a265)
80	Client IP		Server IP		ESP	152		ESP (SPI=0xc77bcd31)
81	10.1.2.3		10.1.2.2		ICMP	76		Echo (ping) request  id=0x0001, seq=2175/32520, ttl=127 (reply in 82)
82	10.1.2.2		10.1.2.3		ICMP	76		Echo (ping) reply    id=0x0001, seq=2175/32520, ttl=64 (request in 81)
83	Server IP		Client IP		ESP	152		ESP (SPI=0xcdd4a265)
86	Client IP		Server IP		ESP	152		ESP (SPI=0xc77bcd31)
87	10.1.2.3		10.1.2.2		ICMP	76		Echo (ping) request  id=0x0001, seq=2176/32776, ttl=127 (reply in 88)
88	10.1.2.2		10.1.2.3		ICMP	76		Echo (ping) reply    id=0x0001, seq=2176/32776, ttl=64 (request in 87)
89	Server IP		Client IP		ESP	152		ESP (SPI=0xcdd4a265)

Ещё один нюанс заключается в том, что это всё происходит только если подключение установлено с точки доступа Zyxel. Если подключаться с ноута напрямую, то всё в порядке. Параметры подключения на точке доступа стандартные и там ничего кроме IP сервера и пароля не указывается. Других там настроект практически нет. Только MTU, но он не влияет, т.к. речь идёт о мелких пакетах.

Если у кого-нибудь есть идеи, почему это происходит, то буду очень благодарен.

С уважением, Даниил.

 , , ,

datswd ()

xl2tpd при подключении не обновляет адрес хоста

Есть сервер CentOS. На нем поднимается подключение L2tp/IpSec как клиент. Strongswan + xl2tpd

Подключение не по IP, а по имени хоста. Имя хоста имеет 3 штуки A записей DNS

Сначала создается подключение IPsec. Strongswan обращается к dns и по первому же ответу от сервера DNS поднимает соединение.
Потом поднимается подключение L2tp. Должен перебирать DNS записи хоста, пока не сможет подключиться (т.е. только тот ip на котором активно подключение ipsec).

Так вот проблема:
на тестовой машине xl2tpd отрабатывает правильно. При каждой новой попытке берет новый ip
на проде все время берет один и тот же ip при новых попытках.
Меняет ip по очереди только при перезапуске сервиса xl2tpd.
настройки strongswan и xl2tpd полностью идентичные. немного отличается версия xl2tpd сервиса, на проде новее!
из-за чего это может быть?

 , , , ,

nikon_ww ()

L2TP/IPsec запушить маршруты клиенту?

Сабж. В openvpn было очень удобно. Беглый гуглинг сказал что нет, но может таки есть способ? Используется xl2tpd и libreswan.

 , , , ,

bsdfun ()

L2TP (xl2tpd+openswan) нет коннекта на Android

Настроил L2TP сервер, связка xl2tpd+openswan, все замечательно конектится в винде и на iOS, а на андроиде напрочь не хочет. Выбираю L2TP/IPSec PSK висит думает и в итоге ошибка.

ipsec.conf:
config setup
nat_traversal=yes

virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
oe=off
protostack=netkey

conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
authby=secret
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
keylife=1h
type=transport
left=IP СЕРВЕРА
leftprotoport=17/1701
right=%any
rightprotoport=17/%any

само собой ipsec.secrets формата IP СЕРВЕРА %any : PSK «общий ключ»

xl2tpd.conf: [global]
port = 1701
ipsec saref = yes
saref refinfo = 30

[lns default]
ip range = 10.1.2.2-10.1.2.255
local ip = 10.1.2.1
refuse chap = yes
refuse pap = yes
require authentication = yes
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes
name = VPN

options.xl2tpd:
require-mschap-v2
ms-dns 8.8.8.8
ms-dns 8.8.4.4
asyncmap 0
auth
crtscts
lock
hide-password
modem
#debug
name VPN
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4
logfile /var/log/xl2tpd.log

И chap-secrets: user1 VPN u321789 *

 , , , ,

FillRU ()

Не видится остальная сеть за клиентом (xl2tpd)

Есть подсеть (212.0) с микротиком и поднятым l2tp сервером. Так же есть подсеть (215.0) с роутером без vpn клиента вообще (есть такое убожество в виде Интернет-центр Yota). Поэтому поставил в эту подсеть комп с Ubuntu и vpn-клиентом xl2tpd. В результате c этого компа (клиента) сеть сервера (212.0) пингуется полностью. А из сети сервера (микротика) пингуется только комп vpn-клиент. В какую сторону копать, чтоб доступ был ко всей подсети vpn-клиента?

 , , ,

Pluto ()

Настройка Firewall для XL2TPD & Samba

Здравствуйте! Имеется Ubuntu 16.04 и VPN-сервер: XL2TPD PPP IPSec Libreswan Samba (папка с общим доступом находится на сервере Ubuntu). Уже один раз меня хакали. Не хочу, чтобы впредь это повторялось. Как грамотно прописать правила для iptables, чтобы не было открытого прямого доступа?

Я сделал так (/etc/iptables/rules.v4):

# eth0 подключен к интернету.
# eth1 подключен к частной подсети.
 
# Внешний интерфейс сервера
IF_EXT="ens3"
 
# Внутренние интерфейсы (обслуживающие ВПН-клиентов)
IF_INT="ppp+"
 
# Сеть, адреса из которой будут получать ВПН-клиенты
NET_INT="112.128.72.0/24"
 
LOOP="127.0.0.1"
 
 
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s ${NET_INT} -o eth0 -j MASQUERADE
-t nat -A POSTROUTING -s ${NET_INT} -j MASQUERADE -o ${IF_EXT}
-t nat -A POSTROUTING -o eth0 -s ${NET_INT} -j MASQUERADE
COMMIT
 
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
 
#
-A INPUT -p udp -m udp --dport 1701 -m policy --dir in --pol none -j DROP
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m multiport --dports 500,4500 -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -m policy --dir in --pol ipsec -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -j DROP
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -i eth0 -o ${IF_INT} -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ${IF_INT} -o eth0 -j ACCEPT
-A FORWARD -s ${NET_INT} -d ${NET_INT} -i ${IF_INT} -o ${IF_INT} -j ACCEPT
-A FORWARD -j DROP
 
 
# Разрешаем весь трафик на петлевом интерфейсе
-A INPUT -i lo -j ACCEPT
 
# Запретить внешним пакетам использовать петлевой адрес
-A INPUT -i eth0 -s ${LOOP} -j DROP
-A FORWARD -i eth0 -s ${LOOP} -j DROP
-A INPUT -i eth0 -d ${LOOP} -j DROP
-A FORWARD -i eth0 -d ${LOOP} -j DROP
 
# Все, что приходит из Интернета, должно иметь настоящий интернет-адрес
-A FORWARD -i eth0 -s 192.168.0.0/16 -j DROP
-A FORWARD -i eth0 -s 172.16.0.0/12 -j DROP
-A FORWARD -i eth0 -s 10.0.0.0/8 -j DROP
-A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
-A INPUT -i eth0 -s 172.16.0.0/12 -j DROP
-A INPUT -i eth0 -s 10.0.0.0/8 -j DROP
 
# Разрешаем всё для ВПН-клиентов
-A INPUT -i ${IF_INT} -s ${NET_INT} -j ACCEPT
 
 
# Разрешаем входящие соединения к L2TP
# Но только с шифрованием!
-A INPUT -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT
 
# Разрешаем IPSec
-A INPUT -p esp -j ACCEPT
-A INPUT -p ah -j ACCEPT
-A INPUT -p udp --dport 500 -j ACCEPT
-A INPUT -p udp --dport 4500 -j ACCEPT
 
# Разрешаем доступ к серверу по SSH
-A INPUT -m tcp -p tcp --dport 2002 -j ACCEPT
 
 
# Разрешаем входящие ответы на исходящие соединения
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 
# NAT для локальной сети (ВПН-клиентов)
-A FORWARD -i ${IF_INT} -o ${IF_EXT} -s ${NET_INT} -j ACCEPT
-A FORWARD -i ${IF_EXT} -o ${IF_INT} -d ${NET_INT} -m state --state RELATED,ESTABLISHED -j ACCEPT
 
# Блокировать исходящие NetBios (если у вас запущены машины с Windows
# в частной подсети). Это не повлияет на NetBios
# трафик, который проходит через VPN-туннель, но он остановится
# локальные машины Windows от вещания себя
# интернет.
-A FORWARD -p tcp --sport 137:139 -o eth0 -j DROP
-A FORWARD -p udp --sport 137:139 -o eth0 -j DROP
-A OUTPUT -p tcp --sport 137:139 -o eth0 -j DROP
-A OUTPUT -p udp --sport 137:139 -o eth0 -j DROP
 
# Проверка правильности адреса источника на пакетах, выходящих в интернет
-A FORWARD -s ! ${NET_INT} -i eth1 -j DROP
 
# Разрешить локальную петлю
-A INPUT -s ${LOOP} -j ACCEPT
-A INPUT -d ${LOOP} -j ACCEPT
 
# Drop входящих эхо-запросов
-A INPUT -p icmp --icmp-type echo-request -j DROP
 
# Drop пакетов из частных подсетей
-A INPUT -i eth1 -j DROP
-A FORWARD -i eth1 -j DROP
 
# Сохранять состояние соединений из локальной машины и частных подсетей
-A OUTPUT -m state --state NEW -o eth0 -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -m state --state NEW -o eth0 -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# Самба ВКЛ
-A INPUT -p tcp -m tcp --dport 445 –s ${NET_INT} -j ACCEPT
-A INPUT -p tcp -m tcp --dport 139 –s ${NET_INT} -j ACCEPT
-A INPUT -p udp -m udp --dport 137 –s ${NET_INT} -j ACCEPT
-A INPUT -p udp -m udp --dport 138 –s ${NET_INT} -j ACCEPT
 
-A INPUT -i eth0 -s ${NET_INT} -p udp --dport 137:138 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -d ${NET_INT} -p udp --sport 137:138 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -s ${NET_INT} -p tcp --dport 139 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -d ${NET_INT} -p tcp --sport 139 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -d ${NET_INT} -p udp --sport 445 -m state --state ESTABLISHED -j ACCEPT
 
-I INPUT -i eth0 -p tcp --dport 137 -j DROP
-I INPUT -i eth0 -p tcp --dport 138 -j DROP
-I INPUT -i eth0 -p tcp --dport 139 -j DROP
-I INPUT -i eth0 -p tcp --dport 445 -j DROP
-I INPUT -i eth0 -p tcp --dport 1701 -j DROP
 
COMMIT

Подскажите, пожалуйста, всё ли правильно у меня написано?

 , , , ,

saliery ()

strongswan + xl2tpd + dnsmasq = xl2tpd[-] : Maximum retries exceeded for tunnel -. Closing.

Всем хеллоу.

Есть

  Linux - 4.19.0-5-amd64 #1 SMP Debian 4.19.37-5 (2019-06-19) x86_64 GNU/Linux
  
  xl2tpd version:  xl2tpd-1.3.12
  
  Linux strongSwan U5.7.2/K4.19.0-5-amd64
  
  Dnsmasq version 2.80

/etc/ipsec.conf

		config setup
		   charondebug="enc 0, net 0, ike 0, cfg 0, knl 0, lib 0, job 0, dmn 0"

		conn vpnserver
		   authby=secret
		   auto=add
		   type=transport
		   left={ip-2}
		   leftprotoport=17/1701
		   right=%any
		   rightprotoport=17/%any
		   rekey=no

/etc/dnsmasq.conf

dhcp-range=10.1.2.3,static
dhcp-option=option:router
dhcp-option=121,10.1.2.1/32,10.1.2.2,{ip-1}/32,10.1.2.2
dhcp-option=249,10.1.2.1/32,10.1.2.2,{ip-1}/32,10.1.2.2
dhcp-option=vendor:MSFT,2,1i

/etc/xl2tpd/xl2tpd.conf

		[global]
			ipsec saref = yes

		[lns default]
			ip range = 10.1.2.3-10.1.2.25
			local ip = 10.1.2.2
			require chap = yes
			refuse pap = yes
			require authentication = yes
			pppoptfile = /etc/ppp/options.xl2tpd

/etc/ppp/options.xl2tpd

require-mschap-v2
ms-dns 8.8.8.8
ms-dns 8.8.4.4
debug
auth
name vpnserver
proxyarp
mtu 1372

/etc/iptables/rules.v4

		*filter

		-A INPUT -i lo -j ACCEPT
		-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT
		-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

		-A INPUT -p udp --dport 4500 -j ACCEPT
		-A INPUT -p udp --dport 500 -j ACCEPT

		-A INPUT -p udp -m policy --dir in --pol ipsec -m udp --dport l2tp -j ACCEPT
		-A INPUT -p udp -m udp --dport l2tp -j REJECT --reject-with icmp-port-unreachable

		-A INPUT -i ppp+ -s 10.1.2.0/24 -j ACCEPT
		-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

		-A INPUT -j DROP


		-A FORWARD -s 8.8.8.8 -j ACCEPT
		-A FORWARD -d 8.8.8.8 -j ACCEPT

		-A FORWARD -j REJECT

		-A OUTPUT -j ACCEPT

		-A OUTPUT -p udp -m policy --dir out --pol ipsec -m udp --sport l2tp -j ACCEPT
		-A OUTPUT -p udp -m udp --sport l2tp -j REJECT --reject-with icmp-port-unreachable

		COMMIT

		*nat
		-A POSTROUTING -o ens3 -s 10.1.2.0/24 --jump MASQUERADE
		#-I POSTROUTING 1 -j LOG

		COMMIT

/etc/network/interfaces

auto ens3
iface ens3 inet static
        address {ip-1}
        netmask 255.255.255.255
        gateway 10.0.0.1
        pointopoint 10.0.0.1
        up ip addr add {ip-2}/32 dev ens3
        down ip addr del {ip-2}/32 dev ens3

auto dummy0
iface dummy0 inet static
        address 10.1.2.1
        netmask 255.255.255.0
        pre-up ip link add dummy0 type dummy

/etc/modules

dummy

/etc/sysctl.conf

net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
net.ipv4.ip_forward = 1

ip a

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: ens3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 52:54:00:57:d7:ec brd ff:ff:ff:ff:ff:ff
    inet {ip-1} peer 10.0.0.1/32 brd {ip-1} scope global ens3
       valid_lft forever preferred_lft forever
    inet {ip-2}/32 scope global ens3
       valid_lft forever preferred_lft forever
3: dummy0: <BROADCAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN group default qlen 1000
    link/ether f6:ed:c9:9f:fc:ef brd ff:ff:ff:ff:ff:ff
    inet 10.1.2.1/24 brd 10.1.2.255 scope global dummy0
       valid_lft forever preferred_lft forever

В результате всего этого имеем

Aug  7 03:46:43 - charon: 00[DMN] signal of type SIGINT received. Shutting down
Aug  7 03:46:43 - ipsec[585]: 00[DMN] Starting IKE charon daemon (strongSwan 5.7.2, Linux 4.19.0-5-amd64, x86_64)
Aug  7 03:46:43 - ipsec[585]: 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'
Aug  7 03:46:43 - ipsec[585]: 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'
Aug  7 03:46:43 - ipsec[585]: 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
Aug  7 03:46:43 - ipsec[585]: 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'
Aug  7 03:46:43 - ipsec[585]: 00[CFG] loading crls from '/etc/ipsec.d/crls'
Aug  7 03:46:43 - ipsec[585]: 00[CFG] loading secrets from '/etc/ipsec.secrets'
Aug  7 03:46:43 - ipsec[585]: 00[CFG]   loaded IKE secret for {ip-2}
Aug  7 03:46:43 - ipsec[585]: 00[LIB] loaded plugins: charon aes rc2 sha2 sha1 md5 mgf1 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent xcbc hmac gcm attr kernel-netlink resolve socket-default connmark stroke updown counters
Aug  7 03:46:43 - ipsec[585]: 00[LIB] dropped capabilities, running as uid 0, gid 0
Aug  7 03:46:43 - ipsec[585]: 00[JOB] spawning 16 worker threads
Aug  7 03:46:43 - ipsec[585]: 05[CFG] received stroke: add connection 'vpnserver'
Aug  7 03:46:43 - ipsec[585]: 05[CFG] added configuration 'vpnserver'
Aug  7 03:46:43 - ipsec[585]: 00[DMN] signal of type SIGINT received. Shutting down
Aug  7 03:46:43 - ipsec[585]: charon stopped after 200 ms
Aug  7 03:46:43 - ipsec[585]: ipsec starter stopped
Aug  7 03:46:43 - systemd[1]: Stopping strongSwan IPsec IKEv1/IKEv2 daemon using ipsec.conf...
Aug  7 03:46:43 - systemd[1]: strongswan.service: Succeeded.
Aug  7 03:46:43 - systemd[1]: Stopped strongSwan IPsec IKEv1/IKEv2 daemon using ipsec.conf.
Aug  7 03:46:43 - systemd[1]: Started strongSwan IPsec IKEv1/IKEv2 daemon using ipsec.conf.
Aug  7 03:46:43 - ipsec[684]: Starting strongSwan 5.7.2 IPsec [starter]...
Aug  7 03:46:43 - systemd[1]: Stopping LSB: layer 2 tunelling protocol daemon...
Aug  7 03:46:43 - xl2tpd[613]: death_handler: Fatal signal 15 received
Aug  7 03:46:43 - xl2tpd[694]: Stopping xl2tpd: xl2tpd.
Aug  7 03:46:43 - systemd[1]: xl2tpd.service: Succeeded.
Aug  7 03:46:43 - systemd[1]: Stopped LSB: layer 2 tunelling protocol daemon.
Aug  7 03:46:43 - systemd[1]: Starting LSB: layer 2 tunelling protocol daemon...
Aug  7 03:46:43 - charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.7.2, Linux 4.19.0-5-amd64, x86_64)
Aug  7 03:46:43 - xl2tpd[711]: Enabling IPsec SAref processing for L2TP transport mode SAs
Aug  7 03:46:43 - xl2tpd[711]: IPsec SAref does not work with L2TP kernel mode yet, enabling force userspace=yes
Aug  7 03:46:43 - xl2tpd[711]: setsockopt recvref[30]: Protocol not available
Aug  7 03:46:43 - xl2tpd[711]: Not looking for kernel support.
Aug  7 03:46:43 - xl2tpd[703]: Starting xl2tpd: xl2tpd.
Aug  7 03:46:43 - systemd[1]: Started LSB: layer 2 tunelling protocol daemon.
Aug  7 03:46:43 - xl2tpd[712]: xl2tpd version xl2tpd-1.3.12 started on -.info PID:712
Aug  7 03:46:43 - xl2tpd[712]: Written by Mark Spencer, Copyright (C) 1998, Adtran, Inc.
Aug  7 03:46:43 - xl2tpd[712]: Forked by Scott Balmos and David Stipp, (C) 2001
Aug  7 03:46:43 - xl2tpd[712]: Inherited by Jeff McAdams, (C) 2002
Aug  7 03:46:43 - xl2tpd[712]: Forked again by Xelerance (www.xelerance.com) (C) 2006-2016
Aug  7 03:46:43 - xl2tpd[712]: Listening on IP address 0.0.0.0, port 1701
Aug  7 03:46:43 - charon: 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'
Aug  7 03:46:43 - charon: 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'
Aug  7 03:46:43 - charon: 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
Aug  7 03:46:43 - charon: 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'
Aug  7 03:46:43 - charon: 00[CFG] loading crls from '/etc/ipsec.d/crls'
Aug  7 03:46:43 - charon: 00[CFG] loading secrets from '/etc/ipsec.secrets'
Aug  7 03:46:43 - charon: 00[CFG]   loaded IKE secret for {ip-2}
Aug  7 03:46:43 - charon: 00[LIB] loaded plugins: charon aes rc2 sha2 sha1 md5 mgf1 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent xcbc hmac gcm attr kernel-netlink resolve socket-default connmark stroke updown counters
Aug  7 03:46:43 - charon: 00[LIB] dropped capabilities, running as uid 0, gid 0
Aug  7 03:46:43 - charon: 00[JOB] spawning 16 worker threads
Aug  7 03:46:43 - systemd[1]: Stopping dnsmasq - A lightweight DHCP and caching DNS server...
Aug  7 03:46:43 - ipsec[684]: charon (710) started after 40 ms
Aug  7 03:46:43 - charon: 05[CFG] received stroke: add connection 'vpnserver'
Aug  7 03:46:43 - charon: 05[CFG] added configuration 'vpnserver'
Aug  7 03:46:43 - dnsmasq[649]: exiting on receipt of SIGTERM
Aug  7 03:46:43 - systemd[1]: dnsmasq.service: Succeeded.
Aug  7 03:46:43 - systemd[1]: Stopped dnsmasq - A lightweight DHCP and caching DNS server.
Aug  7 03:46:43 - systemd[1]: Starting dnsmasq - A lightweight DHCP and caching DNS server...
Aug  7 03:46:43 - dnsmasq[740]: dnsmasq: syntax check OK.
Aug  7 03:46:43 - dnsmasq[748]: started, version 2.80 cachesize 150
Aug  7 03:46:43 - dnsmasq[748]: DNS service limited to local subnets
Aug  7 03:46:43 - dnsmasq[748]: compile time options: IPv6 GNU-getopt DBus i18n IDN DHCP DHCPv6 no-Lua TFTP conntrack ipset auth DNSSEC loop-detect inotify dumpfile
Aug  7 03:46:43 - dnsmasq-dhcp[748]: DHCP, static leases only on 10.1.2.3, lease time 1h
Aug  7 03:46:43 - dnsmasq[748]: reading /etc/resolv.conf
Aug  7 03:46:43 - dnsmasq[748]: using nameserver 8.8.8.8#53
Aug  7 03:46:43 - dnsmasq[748]: using nameserver 8.8.4.4#53
Aug  7 03:46:43 - dnsmasq[748]: read /etc/hosts - 5 addresses
Aug  7 03:46:43 - systemd[1]: Started dnsmasq - A lightweight DHCP and caching DNS server.
Aug  7 03:46:55 - charon: 07[NET] received packet: from {ip-client}[15822] to {ip-2}[500] (408 bytes)
Aug  7 03:46:55 - charon: 07[ENC] parsed ID_PROT request 0 [ SA V V V V V V V V ]
Aug  7 03:46:55 - charon: 07[ENC] received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:01
Aug  7 03:46:55 - charon: 07[IKE] received MS NT5 ISAKMPOAKLEY vendor ID
Aug  7 03:46:55 - charon: 07[IKE] received NAT-T (RFC 3947) vendor ID
Aug  7 03:46:55 - charon: 07[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Aug  7 03:46:55 - charon: 07[IKE] received FRAGMENTATION vendor ID
Aug  7 03:46:55 - charon: 07[ENC] received unknown vendor ID: fb:1d:e3:cd:f3:41:b7:ea:16:b7:e5:be:08:55:f1:20
Aug  7 03:46:55 - charon: 07[ENC] received unknown vendor ID: 26:24:4d:38:ed:db:61:b3:17:2a:36:e3:d0:cf:b8:19
Aug  7 03:46:55 - charon: 07[ENC] received unknown vendor ID: e3:a5:96:6a:76:37:9f:e7:07:22:82:31:e5:ce:86:52
Aug  7 03:46:55 - charon: 07[IKE] {ip-client} is initiating a Main Mode IKE_SA
Aug  7 03:46:55 - charon: 07[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384
Aug  7 03:46:55 - charon: 07[ENC] generating ID_PROT response 0 [ SA V V V V ]
Aug  7 03:46:55 - charon: 07[NET] sending packet: from {ip-2}[500] to {ip-client}[15822] (160 bytes)
Aug  7 03:46:55 - charon: 08[NET] received packet: from {ip-client}[15822] to {ip-2}[500] (228 bytes)
Aug  7 03:46:55 - charon: 08[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]
Aug  7 03:46:55 - charon: 08[IKE] remote host is behind NAT
Aug  7 03:46:55 - charon: 08[ENC] generating ID_PROT response 0 [ KE No NAT-D NAT-D ]
Aug  7 03:46:55 - charon: 08[NET] sending packet: from {ip-2}[500] to {ip-client}[15822] (212 bytes)
Aug  7 03:46:55 - charon: 09[NET] received packet: from {ip-client}[15823] to {ip-2}[4500] (76 bytes)
Aug  7 03:46:55 - charon: 09[ENC] parsed ID_PROT request 0 [ ID HASH ]
Aug  7 03:46:55 - charon: 09[CFG] looking for pre-shared key peer configs matching {ip-2}...{ip-client}[192.168.98.25]
Aug  7 03:46:55 - charon: 09[CFG] selected peer config "vpnserver"
Aug  7 03:46:55 - charon: 09[IKE] IKE_SA vpnserver[1] established between {ip-2}[{ip-2}]...{ip-client}[192.168.98.25]
Aug  7 03:46:55 - charon: 09[ENC] generating ID_PROT response 0 [ ID HASH ]
Aug  7 03:46:55 - charon: 09[NET] sending packet: from {ip-2}[4500] to {ip-client}[15823] (76 bytes)
Aug  7 03:46:55 - charon: 11[NET] received packet: from {ip-client}[15823] to {ip-2}[4500] (444 bytes)
Aug  7 03:46:55 - charon: 11[ENC] parsed QUICK_MODE request 1 [ HASH SA No ID ID NAT-OA NAT-OA ]
Aug  7 03:46:55 - charon: 11[CFG] selected proposal: ESP:AES_CBC_256/HMAC_SHA1_96/NO_EXT_SEQ
Aug  7 03:46:55 - charon: 11[IKE] received 3600s lifetime, configured 0s
Aug  7 03:46:55 - charon: 11[IKE] received 250000000 lifebytes, configured 0
Aug  7 03:46:55 - charon: 11[ENC] generating QUICK_MODE response 1 [ HASH SA No ID ID NAT-OA NAT-OA ]
Aug  7 03:46:55 - charon: 11[NET] sending packet: from {ip-2}[4500] to {ip-client}[15823] (204 bytes)
Aug  7 03:46:55 - charon: 12[NET] received packet: from {ip-client}[15823] to {ip-2}[4500] (60 bytes)
Aug  7 03:46:55 - charon: 12[ENC] parsed QUICK_MODE request 1 [ HASH ]
Aug  7 03:46:55 - charon: 12[IKE] CHILD_SA vpnserver{1} established with SPIs c14bb892_i 06c946b0_o and TS {ip-2}/32[udp/l2f] === {ip-client}/32[udp/l2f]
Aug  7 03:46:56 - xl2tpd[712]: control_finish: Peer requested tunnel 13 twice, ignoring second one.
Aug  7 03:46:58 - xl2tpd[712]: control_finish: Peer requested tunnel 13 twice, ignoring second one.
Aug  7 03:47:02 - xl2tpd[712]: control_finish: Peer requested tunnel 13 twice, ignoring second one.
Aug  7 03:47:10 - xl2tpd[712]: control_finish: Peer requested tunnel 13 twice, ignoring second one.
Aug  7 03:47:20 - xl2tpd[712]: control_finish: Peer requested tunnel 13 twice, ignoring second one.
Aug  7 03:47:26 - xl2tpd[712]: Maximum retries exceeded for tunnel 35573.  Closing.
Aug  7 03:47:26 - xl2tpd[712]: Connection 13 closed to {ip-client}, port 1701 (Timeout)
Aug  7 03:47:30 - charon: 15[NET] received packet: from {ip-client}[15823] to {ip-2}[4500] (76 bytes)
Aug  7 03:47:30 - charon: 15[ENC] parsed INFORMATIONAL_V1 request 3378750910 [ HASH D ]
Aug  7 03:47:30 - charon: 15[IKE] received DELETE for ESP CHILD_SA with SPI 06c946b0
Aug  7 03:47:30 - charon: 15[IKE] closing CHILD_SA vpnserver{1} with SPIs c14bb892_i (648 bytes) 06c946b0_o (0 bytes) and TS {ip-2}/32[udp/l2f] === {ip-client}/32[udp/l2f]
Aug  7 03:47:30 - charon: 16[NET] received packet: from {ip-client}[15823] to {ip-2}[4500] (92 bytes)
Aug  7 03:47:30 - ipsec[684]: 00[DMN] Starting IKE charon daemon (strongSwan 5.7.2, Linux 4.19.0-5-amd64, x86_64)
Aug  7 03:47:30 - ipsec[684]: 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'
Aug  7 03:47:30 - ipsec[684]: 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'
Aug  7 03:47:30 - ipsec[684]: 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
Aug  7 03:47:30 - ipsec[684]: 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'
Aug  7 03:47:30 - ipsec[684]: 00[CFG] loading crls from '/etc/ipsec.d/crls'
Aug  7 03:47:30 - ipsec[684]: 00[CFG] loading secrets from '/etc/ipsec.secrets'
Aug  7 03:47:30 - ipsec[684]: 00[CFG]   loaded IKE secret for {ip-2}
Aug  7 03:47:30 - ipsec[684]: 00[LIB] loaded plugins: charon aes rc2 sha2 sha1 md5 mgf1 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent xcbc hmac gcm attr kernel-netlink resolve socket-default connmark stroke updown counters
Aug  7 03:47:30 - ipsec[684]: 00[LIB] dropped capabilities, running as uid 0, gid 0
Aug  7 03:47:30 - ipsec[684]: 00[JOB] spawning 16 worker threads
Aug  7 03:47:30 - ipsec[684]: 05[CFG] received stroke: add connection 'vpnserver'
Aug  7 03:47:30 - ipsec[684]: 05[CFG] added configuration 'vpnserver'
Aug  7 03:47:30 - ipsec[684]: 07[NET] received packet: from {ip-client}[15822] to {ip-2}[500] (408 bytes)
Aug  7 03:47:30 - ipsec[684]: 07[ENC] parsed ID_PROT request 0 [ SA V V V V V V V V ]
Aug  7 03:47:30 - ipsec[684]: 07[ENC] received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:01
Aug  7 03:47:30 - ipsec[684]: 07[IKE] received MS NT5 ISAKMPOAKLEY vendor ID
Aug  7 03:47:30 - ipsec[684]: 07[IKE] received NAT-T (RFC 3947) vendor ID
Aug  7 03:47:30 - ipsec[684]: 07[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Aug  7 03:47:30 - ipsec[684]: 07[IKE] received FRAGMENTATION vendor ID
Aug  7 03:47:30 - ipsec[684]: 07[ENC] received unknown vendor ID: fb:1d:e3:cd:f3:41:b7:ea:16:b7:e5:be:08:55:f1:20
Aug  7 03:47:30 - ipsec[684]: 07[ENC] received unknown vendor ID: 26:24:4d:38:ed:db:61:b3:17:2a:36:e3:d0:cf:b8:19
Aug  7 03:47:30 - ipsec[684]: 07[ENC] received unknown vendor ID: e3:a5:96:6a:76:37:9f:e7:07:22:82:31:e5:ce:86:52
Aug  7 03:47:30 - ipsec[684]: 07[IKE] {ip-client} is initiating a Main Mode IKE_SA
Aug  7 03:47:30 - ipsec[684]: 07[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384
Aug  7 03:47:30 - ipsec[684]: 07[ENC] generating ID_PROT response 0 [ SA V V V V ]
Aug  7 03:47:30 - ipsec[684]: 07[NET] sending packet: from {ip-2}[500] to {ip-client}[15822] (160 bytes)
Aug  7 03:47:30 - ipsec[684]: 08[NET] received packet: from {ip-client}[15822] to {ip-2}[500] (228 bytes)
Aug  7 03:47:30 - ipsec[684]: 08[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]
Aug  7 03:47:30 - charon: 16[ENC] parsed INFORMATIONAL_V1 request 1455205357 [ HASH D ]
Aug  7 03:47:30 - ipsec[684]: 08[IKE] remote host is behind NAT
Aug  7 03:47:30 - ipsec[684]: 08[ENC] generating ID_PROT response 0 [ KE No NAT-D NAT-D ]
Aug  7 03:47:30 - ipsec[684]: 08[NET] sending packet: from {ip-2}[500] to {ip-client}[15822] (212 bytes)
Aug  7 03:47:30 - ipsec[684]: 09[NET] received packet: from {ip-client}[15823] to {ip-2}[4500] (76 bytes)
Aug  7 03:47:30 - ipsec[684]: 09[ENC] parsed ID_PROT request 0 [ ID HASH ]
Aug  7 03:47:30 - ipsec[684]: 09[CFG] looking for pre-shared key peer configs matching {ip-2}...{ip-client}[192.168.98.25]
Aug  7 03:47:30 - ipsec[684]: 09[CFG] selected peer config "vpnserver"
Aug  7 03:47:30 - ipsec[684]: 09[IKE] IKE_SA vpnserver[1] established between {ip-2}[{ip-2}]...{ip-client}[192.168.98.25]
Aug  7 03:47:30 - ipsec[684]: 09[ENC] generating ID_PROT response 0 [ ID HASH ]
Aug  7 03:47:30 - ipsec[684]: 09[NET] sending packet: from {ip-2}[4500] to {ip-client}[15823] (76 bytes)
Aug  7 03:47:30 - ipsec[684]: 11[NET] received packet: from {ip-client}[15823] to {ip-2}[4500] (444 bytes)
Aug  7 03:47:30 - ipsec[684]: 11[ENC] parsed QUICK_MODE request 1 [ HASH SA No ID ID NAT-OA NAT-OA ]
Aug  7 03:47:30 - ipsec[684]: 11[CFG] selected proposal: ESP:AES_CBC_256/HMAC_SHA1_96/NO_EXT_SEQ
Aug  7 03:47:30 - ipsec[684]: 11[IKE] received 3600s lifetime, configured 0s
Aug  7 03:47:30 - ipsec[684]: 11[IKE] received 250000000 lifebytes, configured 0
Aug  7 03:47:30 - ipsec[684]: 11[ENC] generating QUICK_MODE response 1 [ HASH SA No ID ID NAT-OA NAT-OA ]
Aug  7 03:47:30 - ipsec[684]: 11[NET] sending packet: from {ip-2}[4500] to {ip-client}[15823] (204 bytes)
Aug  7 03:47:30 - ipsec[684]: 12[NET] received packet: from {ip-client}[15823] to {ip-2}[4500] (60 bytes)
Aug  7 03:47:30 - ipsec[684]: 12[ENC] parsed QUICK_MODE request 1 [ HASH ]
Aug  7 03:47:30 - ipsec[684]: 12[IKE] CHILD_SA vpnserver{1} established with SPIs c14bb892_i 06c946b0_o and TS {ip-2}/32[udp/l2f] === {ip-client}/32[udp/l2f]
Aug  7 03:47:30 - ipsec[684]: 15[NET] received packet: from {ip-client}[15823] to {ip-2}[4500] (76 bytes)
Aug  7 03:47:30 - ipsec[684]: 15[ENC] parsed INFORMATIONAL_V1 request 3378750910 [ HASH D ]
Aug  7 03:47:30 - ipsec[684]: 15[IKE] received DELETE for ESP CHILD_SA with SPI 06c946b0
Aug  7 03:47:30 - ipsec[684]: 15[IKE] closing CHILD_SA vpnserver{1} with SPIs c14bb892_i (648 bytes) 06c946b0_o (0 bytes) and TS {ip-2}/32[udp/l2f] === {ip-client}/32[udp/l2f]
Aug  7 03:47:30 - ipsec[684]: 16[NET] received packet: from {ip-client}[15823] to {ip-2}[4500] (92 bytes)
Aug  7 03:47:30 - ipsec[684]: 16[ENC] parsed INFORMATIONAL_V1 request 1455205357 [ HASH D ]
Aug  7 03:47:30 - ipsec[684]: 16[IKE] received DELETE for IKE_SA vpnserver[1]
Aug  7 03:47:30 - charon: 16[IKE] received DELETE for IKE_SA vpnserver[1]
Aug  7 03:47:30 - charon: 16[IKE] deleting IKE_SA vpnserver[1] between {ip-2}[{ip-2}]...{ip-client}[192.168.98.25]
Aug  7 03:47:57 - xl2tpd[712]: Unable to deliver closing message for tunnel 35573. Destroying anyway.
Aug  7 03:48:20 - systemd[1]: Started Session 3 of user root.

Пробовал подключение через двух разных провайдеров - результат идентичный => вряд ли провайдер блокирует что-то.

С этим конфигом всё работало на debian 9 Результат стал таким при применении обозначенных конфигов на debian 10. А может чего-то перепутано... :)

Хелп плз :)

 , , , ,

noisebringer ()

Настройка Firewall для XL2TPD & Samba

Здравствуйте! Имеется Ubuntu 16.04 и VPN-сервер: XL2TPD PPP IPSec Libreswan Samba (папка с общим доступом находится на сервере Ubuntu). Уже один раз меня хакали. Не хочу, чтобы впредь это повторялось. Как грамотно прописать правила для iptables, чтобы не было открытого прямого доступа?

Я сделал так (/etc/iptables/rules.v4):

# eth0 подключен к интернету.
# eth1 подключен к частной подсети.
 
# Внешний интерфейс сервера
IF_EXT="ens3"
 
# Внутренние интерфейсы (обслуживающие ВПН-клиентов)
IF_INT="ppp+"
 
# Сеть, адреса из которой будут получать ВПН-клиенты
NET_INT="112.128.72.0/24"
 
LOOP="127.0.0.1"
 
 
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s ${NET_INT} -o eth0 -j MASQUERADE
-t nat -A POSTROUTING -s ${NET_INT} -j MASQUERADE -o ${IF_EXT}
-t nat -A POSTROUTING -o eth0 -s ${NET_INT} -j MASQUERADE
COMMIT
 
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
 
#
-A INPUT -p udp -m udp --dport 1701 -m policy --dir in --pol none -j DROP
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m multiport --dports 500,4500 -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -m policy --dir in --pol ipsec -j ACCEPT
-A INPUT -p udp -m udp --dport 1701 -j DROP
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -i eth0 -o ${IF_INT} -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ${IF_INT} -o eth0 -j ACCEPT
-A FORWARD -s ${NET_INT} -d ${NET_INT} -i ${IF_INT} -o ${IF_INT} -j ACCEPT
-A FORWARD -j DROP
 
 
# Разрешаем весь трафик на петлевом интерфейсе
-A INPUT -i lo -j ACCEPT
 
# Запретить внешним пакетам использовать петлевой адрес
-A INPUT -i eth0 -s ${LOOP} -j DROP
-A FORWARD -i eth0 -s ${LOOP} -j DROP
-A INPUT -i eth0 -d ${LOOP} -j DROP
-A FORWARD -i eth0 -d ${LOOP} -j DROP
 
# Все, что приходит из Интернета, должно иметь настоящий интернет-адрес
-A FORWARD -i eth0 -s 192.168.0.0/16 -j DROP
-A FORWARD -i eth0 -s 172.16.0.0/12 -j DROP
-A FORWARD -i eth0 -s 10.0.0.0/8 -j DROP
-A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
-A INPUT -i eth0 -s 172.16.0.0/12 -j DROP
-A INPUT -i eth0 -s 10.0.0.0/8 -j DROP
 
# Разрешаем всё для ВПН-клиентов
-A INPUT -i ${IF_INT} -s ${NET_INT} -j ACCEPT
 
 
# Разрешаем входящие соединения к L2TP
# Но только с шифрованием!
-A INPUT -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT
 
# Разрешаем IPSec
-A INPUT -p esp -j ACCEPT
-A INPUT -p ah -j ACCEPT
-A INPUT -p udp --dport 500 -j ACCEPT
-A INPUT -p udp --dport 4500 -j ACCEPT
 
# Разрешаем доступ к серверу по SSH
-A INPUT -m tcp -p tcp --dport 2002 -j ACCEPT
 
 
# Разрешаем входящие ответы на исходящие соединения
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 
# NAT для локальной сети (ВПН-клиентов)
-A FORWARD -i ${IF_INT} -o ${IF_EXT} -s ${NET_INT} -j ACCEPT
-A FORWARD -i ${IF_EXT} -o ${IF_INT} -d ${NET_INT} -m state --state RELATED,ESTABLISHED -j ACCEPT
 
# Блокировать исходящие NetBios (если у вас запущены машины с Windows
# в частной подсети). Это не повлияет на NetBios
# трафик, который проходит через VPN-туннель, но он остановится
# локальные машины Windows от вещания себя
# интернет.
-A FORWARD -p tcp --sport 137:139 -o eth0 -j DROP
-A FORWARD -p udp --sport 137:139 -o eth0 -j DROP
-A OUTPUT -p tcp --sport 137:139 -o eth0 -j DROP
-A OUTPUT -p udp --sport 137:139 -o eth0 -j DROP
 
# Проверка правильности адреса источника на пакетах, выходящих в интернет
-A FORWARD -s ! ${NET_INT} -i eth1 -j DROP
 
# Разрешить локальную петлю
-A INPUT -s ${LOOP} -j ACCEPT
-A INPUT -d ${LOOP} -j ACCEPT
 
# Drop входящих эхо-запросов
-A INPUT -p icmp --icmp-type echo-request -j DROP
 
# Drop пакетов из частных подсетей
-A INPUT -i eth1 -j DROP
-A FORWARD -i eth1 -j DROP
 
# Сохранять состояние соединений из локальной машины и частных подсетей
-A OUTPUT -m state --state NEW -o eth0 -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -m state --state NEW -o eth0 -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# Самба ВКЛ
-A INPUT -p tcp -m tcp --dport 445 –s ${NET_INT} -j ACCEPT
-A INPUT -p tcp -m tcp --dport 139 –s ${NET_INT} -j ACCEPT
-A INPUT -p udp -m udp --dport 137 –s ${NET_INT} -j ACCEPT
-A INPUT -p udp -m udp --dport 138 –s ${NET_INT} -j ACCEPT
 
-A INPUT -i eth0 -s ${NET_INT} -p udp --dport 137:138 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -d ${NET_INT} -p udp --sport 137:138 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -s ${NET_INT} -p tcp --dport 139 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -d ${NET_INT} -p tcp --sport 139 -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -d ${NET_INT} -p udp --sport 445 -m state --state ESTABLISHED -j ACCEPT
 
-I INPUT -i eth0 -p tcp --dport 137 -j DROP
-I INPUT -i eth0 -p tcp --dport 138 -j DROP
-I INPUT -i eth0 -p tcp --dport 139 -j DROP
-I INPUT -i eth0 -p tcp --dport 445 -j DROP
-I INPUT -i eth0 -p tcp --dport 1701 -j DROP
 
COMMIT

Подскажите, пожалуйста, всё ли правильно у меня написано?

 , , , ,

saliery ()

Безопасность XL2TPD PPP IPSec Libreswan Samba

Здравствуйте! Имеется Ubuntu 16.04 и VPN-сервер: XL2TPD PPP IPSec Libreswan Samba (папка с общим доступом находится на сервере Ubuntu). Уже один раз меня хакали (Trojan.Bugat заскочил ко мне). Не хочу, чтобы впредь это повторялось. Как грамотно прописать правила для iptables, чтобы не было открытого доступа?

Пока что я в файле сделал 2 фильтра:

[code]

Generated by iptables-save v1.6.0 on Fri Jul 19 11:49:27 2019

*filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -I INPUT -i eth0 -p tcp –dport 139 -j DROP -I INPUT -i eth0 -p tcp –dport 445 -j DROP COMMIT

Completed on Fri Jul 19 11:49:27 2019

[/code]

Какие будут ещё пожелания и дополнения?

Результат команды sudo netstat -tuwpln:

[code] tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 1103/dovecot tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 1103/dovecot tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 1592/apache2 tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1041/sshd tcp 0 0 120.195.54.101:53 0.0.0.0:* LISTEN 921/named tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 921/named tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 1810/master tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 921/named tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 1843/smbd tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 979/mysqld tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 1843/smbd

tcp6 0 0 :::25 :::* LISTEN 1810/master tcp6 0 0 :::445 :::* LISTEN 1843/smbd tcp6 0 0 :::139 :::* LISTEN 1843/smbd

udp 0 0 120.195.54.101:53 0.0.0.0:* 921/named udp 0 0 127.0.0.1:53 0.0.0.0:* 921/named udp 0 0 120.195.54.255:137 0.0.0.0:* 1828/nmbd udp 0 0 120.195.54.101:137 0.0.0.0:* 1828/nmbd udp 0 0 0.0.0.0:137 0.0.0.0:* 1828/nmbd udp 0 0 120.195.54.255:138 0.0.0.0:* 1828/nmbd udp 0 0 120.195.54.101:138 0.0.0.0:* 1828/nmbd udp 0 0 0.0.0.0:138 0.0.0.0:* 1828/nmbd udp 0 0 127.0.0.1:4500 0.0.0.0:* 1583/pluto udp 0 0 120.195.54.101:4500 0.0.0.0:* 1583/pluto udp 0 0 0.0.0.0:1701 0.0.0.0:* 1677/xl2tpd udp 0 0 127.0.0.1:500 0.0.0.0:* 1583/pluto udp 0 0 120.195.54.101:500 0.0.0.0:* 1583/pluto [/code]

 , , , ,

saliery ()

Можно ли выдавать клиентам PPP ip из DHCP?

Всем привеТ!

Собственно сабж.
В качестве сервера имею xl2tpd из-под debian. Имею локальную сетку там же с выдачей IP из dhcpd этого же самого debian. Клиентов ppp пускаю в сеть с proxyarp, но вот беда, pppd выдаёт IP из собственного пула или из [ch|p]ap-secrets. При этом если этот адрес уже занят в сети, он всё равно его выдаст и будет проблема. Можно ли как-то выдавать средствами pppd адреса из пула dhcpd? Чё-то не нашёл. Когда-то был плагин dhcp-pppd но успешно загнулся...

 , , , ,

Spider55 ()

IPsec L2TP network-manager автоматическая маршрутизация

Доброго времени. Помогите пожалуйста разобраться с проблемой. Примного благодарен.

Дано

Windows Server с RRAS. Он же IPsec L2TP сервер. (управляется не мной)

Клиенты: Ubuntu 18.04 и Mac OS X (и Виндовс SSTP)

 Linux 4.18.0-16-generic #17~18.04.1-Ubuntu SMP Tue Feb 12 13:35:51 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux
xl2tpd version: xl2tpd-1.3.10
Linux strongSwan U5.6.2/K4.18.0-16-generic

Задача

При соединении чтоб клиент (убунта) получала маршруты которе стоят на сервере. Если убрать «Use this connections only on resources for its network» - работает все ок. Но тогда весь трафик заворачивается через ВПН. Этого хотелось бы избежать.

С маком все просто, в настройках выбрали IPsec, L2TP - работает. На маке при соединении я вижу что в роуты добавляется 10 подсеть.

10                 ppp0               USc             2        0    ppp0       
10.16.251.2        10.16.251.4        UH              0        0    ppp0

Мои мытарства

Настраивать в линуксе пробовал несколькими вариантами. Самый первый: https://help.vpntunnel.com/support/solutions/articles/5000782608-vpntunnel-l2tp-installation-guide-for-ubuntu-18-04-

Второй: Примерно вот так: https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/docs/clients.md#configure-linux-vpn-clients-using-the-command-line

Выводы

На убунте же не получается настроить автоматическое получение роутов. Если я добавляю руками 10тую подсеть. Работает. Хочется автоматом. Так как админ может еще добавлять роуты.

Логи если настраивать через Network Manager```

https://pastebin.com/AtG8iFXV

Логи если через strongswan, xl2tpd

https://pastebin.com/n9x6Zec2

 , , , ,

hmvs ()

Возможно ли поднять на Android VPN клиент, с сетевым интерфейсом на уровне L2?

Хотел поднять TAP интерфейс на android, но как понял OpenVPN для этого не подходит. Затем вспомнил что в android встроен l2tp/ipsec клиент. Можно-ли на сервере развернуть StrongSwan + xl2tpd и используя их поднять L2 интерфейс на android?

P.S. не хочется мучиться с маршрутизацией, а хочется просто добавлять клиентов в домашнюю сеть (192.168.55.0/24) давая им сертификат + логин с паролем, поэтому и задумался об L2.

 , , , ,

fynjirf ()

Скрипт L2TP VPN - работает на DigitalOcean, но не работает на Google Cloud

Приветствую.

Вынужден обратиться за помощью, потратил целый день и решить не удалось.

Взял скрипт с сайта https://www.ylsoftware.com/news/706 Для удобства привел к неинтерактивному вид, чтобы не набирать вручную:

#!/bin/bash

# Внешний интерфейс сервера (узнать командой ip route)
IF_EXT="eth0"

apt -y update

echo iptables-persistent iptables-persistent/autosave_v4 boolean false | sudo debconf-set-selections
echo iptables-persistent iptables-persistent/autosave_v6 boolean false | sudo debconf-set-selections

apt -y install strongswan xl2tpd iptables-persistent

echo '%any %any : PSK "Sup3rP4ss"' > /etc/ipsec.secrets

echo 'config setup
        virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
        nat_traversal=yes
        protostack=netkey

conn l2tpvpn
        type=transport
        authby=secret
        pfs=no
        rekey=no
        keyingtries=1
        left=%any
        leftprotoport=udp/l2tp
        leftid=@l2tpvpnserver
        right=%any
        rightprotoport=udp/%any
        auto=add' > /etc/ipsec.conf
		
service strongswan restart

echo '[global]
port = 1701
access control = no
ipsec saref = yes
force userspace = yes

; Файл с логинами и паролями
auth file = /etc/ppp/chap-secrets

[lns default]
; Диапазон адресов, динамически выдаваемых клиентам
; Мы ограничимся подсетью 172.28.253.64/26
; Первую её часть оставим под статически привязанные к логинам адреса
; А вторая - динамический пул
ip range = 172.28.253.96-172.28.253.126

; IP-адрес на стороне сервера
local ip = 172.28.253.65

; Это имя используется в качестве ipparam при поиске логинов и паролей в auth file
name = l2tpserver

; Файл с дополнительными опциями для ppp
pppoptfile = /etc/ppp/options.xl2tpd

flow bit = yes
exclusive = no
hidden bit = no
length bit = yes
require authentication = yes
require chap = yes
refuse pap = yes' > /etc/xl2tpd/xl2tpd.conf

echo 'noccp
auth
crtscts
mtu 1410
mru 1410
nodefaultroute
lock
noproxyarp
silent
modem
asyncmap 0
hide-password
require-mschap-v2
ms-dns 8.8.8.8
ms-dns 8.8.4.4' > /etc/ppp/options.xl2tpd

service xl2tpd restart

# Внутренние интерфейсы (обслуживающие ВПН-клиентов)
IF_INT="ppp+"

# Сеть, адреса из которой будут получать ВПН-клиенты
NET_INT="172.28.253.64/26"

# Сбрасываем все правила
iptables -F
iptables -F -t nat

# Устанавливаем политики по умолчанию
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

# Разрешаем весь трафик на петлевом интерфейсе
iptables -A INPUT -i lo -j ACCEPT

# Разрешаем всё для ВПН-клиентов
iptables -A INPUT -i ${IF_INT} -s ${NET_INT} -j ACCEPT


# Разрешаем входящие соединения к L2TP
# Но только с шифрованием!
iptables -A INPUT -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT

# Разрешаем IPSec
iptables -A INPUT -p esp -j ACCEPT
iptables -A INPUT -p ah -j ACCEPT
iptables -A INPUT -p udp --dport 500 -j ACCEPT
iptables -A INPUT -p udp --dport 4500 -j ACCEPT

# Разрешаем доступ к серверу по SSH
iptables -A INPUT -m tcp -p tcp --dport 22 -j ACCEPT


# Разрешаем входящие ответы на исходящие соединения
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# NAT для локальной сети (ВПН-клиентов)
iptables -t nat -A POSTROUTING -s ${NET_INT} -j MASQUERADE -o ${IF_EXT}
iptables -A FORWARD -i ${IF_INT} -o ${IF_EXT} -s ${NET_INT} -j ACCEPT
iptables -A FORWARD -i ${IF_EXT} -o ${IF_INT} -d ${NET_INT} -m state --state RELATED,ESTABLISHED -j ACCEPT

netfilter-persistent save

echo 'net.ipv4.ip_forward=1' > /etc/sysctl.conf

sysctl -p /etc/sysctl.conf

echo '"user1"    l2tpserver    "mypassword12"    *' > /etc/ppp/chap-secrets

Создаю Ubuntu 18.0.4, сохраняю этот код в файл vpn.sh, запускаю sh vpn.sh и на DigitalOcean получаю готовый работающий VPN-сервер.

Пробую то же самое сделать на Google Cloud и получаю фигу. При этом вношу правильный IF_EXT (первая переменная в скрипте), узнаю с помощью команды ip route (у гугла это обычно ens4).

В фаяволе облачном все порты открыты.

Какие могут быть причины, почему у гугла на той же самой версии OC (Ubuntu 18.0.4) - не работает. При запуске скрипта никаких ошибок не выдает.

Когда запускаю скрипт создания Proxy Squid - то все работает на Google Cloud (то есть оно порты перебрасует).

И там и там запускаю под root, в гугле предварительно ввожу sudo su.

Куда копать, какие варианты?

 ,

codecity ()

xlt2p и скорость

А xl2tpd не умеет в multicore? Висит в виртуалке и жрет только 1 ядро. Хотя остальные доступны. Итого скорость максимум 20 мегабит не поднимается

 

tits ()

клиент Libreswan+xl2tpd к ZyWALL

Доброго всем времени суток. Имеется роутер ZyXEL ZyWALL UGS 20. Он настроен в качестве VPN сервера по статье KB-2270(из базы знаний Zyxel). В качестве клиентских OC для подключения планируется использовать CentOS. Я пытаюсь настроить подключение с помощью OpenSwan + x2ltpd.

Получившиеся конфиги. ipsec.conf

 
config setup
protostack=netkey
dumpdir=/var/run/pluto/
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v4:100.64.0.0/10,%v6:fd00::/8,%v6:fe80::/10
nat_traversal=yes
protostack=netkey
oe=off
plutoopts="--interface=enp0s8"
conn L2TP
authby=secret
pfs=no
auto=add
keyingtries=3
dpddelay=30
dpdtimeout=120
dpdaction=clear
rekey=yes
ikelifetime=8h
keylife=1h
type=transport
ike=aes128-sha1-modp1024
esp=aes128-sha1
left=%defaultroute
leftnexthop=%defaultroute
leftprotoport=17/1701
right=80.80.80.80
include /etc/ipsec.d/*.conf
xl2tpd.conf
 
 [global]
 access control = yes
 auth file = /etc/ppp/chap-secrets
 debug avp = no
 debug network = no
 debug state = no
 debug tunnel = no
 [lac L2TP]
lns = 80.80.80.80
name = login
redial = yes
redial timeout = 5
require chap = yes
require authentication = yes
ppp debug = yes
pppoptfile = /etc/ppp/options.l2tpd.client
require pap = no
autodial = yes
options.l2tpd.client
ipcp-accept-local
ipcp-accept-remote
refuse-eap
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
noccp
noauth
proxyarp
idle 1800
mtu 1410
mru 1410
defaultroute
usepeerdns
connect-delay 5000
name login	
password secret
Соединение к VPN серверу проходит, в системе появляется интерфейс ppp0 с параметрами «inet 192.168.20.2 peer 10.64.64.64/32 scope global ppp0»
Логи процесса подключения по ссылке https://pastebin.com/geEJAMGE Прошу помочь, или подсказать в каком направлении мне необходимо работать. Самостоятельные поиски решения ни к чему не привели.

 , ,

RomanM ()

Не удаётся подключиться к VPN

Пытаюсь подключиться к рабочей сети по l2tp Вывод от работы networkmanager'а:

Feb 10 21:21:15 bitkiller3 NetworkManager[1214]: xl2tpd[32532]: handle_avps:  don't know how to handle atribute 46.
Feb 10 21:21:15 bitkiller3 NetworkManager[1214]: xl2tpd[32532]: handle_avps:  don't know how to handle atribute 104.
Feb 10 21:21:15 bitkiller3 NetworkManager[1214]: xl2tpd[32532]: control_finish: Connection closed to <IP сервера>, serial 1 (Locally generated disconnect)
Feb 10 21:21:15 bitkiller3 NetworkManager[1214]: xl2tpd[32532]: Terminating pppd: sending TERM signal to pid 32533
Feb 10 21:21:15 bitkiller3 NetworkManager[1214]: nm-l2tp[32368] <info>  Terminated xl2tpd daemon with PID 32532.
Feb 10 21:21:15 bitkiller3 charon: 07[KNL] interface ppp0 deleted
или (при запущенном xl2tpd):
Feb 10 21:28:11 bitkiller3 pppd[4735]: nm-l2tp[4634] <info>  [helper-4735] phasechange: status 1 / phase 'dead'
Feb 10 21:28:11 bitkiller3 pppd[4735]: nm-l2tp[4634] <info>  [helper-4735] exit: cleaning up
Feb 10 21:28:11 bitkiller3 pppd[4735]: Exit.
Feb 10 21:28:12 bitkiller3 xl2tpd[3834]: Connecting to host <Имя хоста>, port 1701
Feb 10 21:28:12 bitkiller3 xl2tpd[3834]: Connection established to <IP сервера>, 1701.  Local: 27019, Remote: 13111 (ref=0/0).
Feb 10 21:28:12 bitkiller3 xl2tpd[3834]: Calling on tunnel 27019
Feb 10 21:28:12 bitkiller3 xl2tpd[3834]: Call established with 217.9.86.1, Local: 60040, Remote: 19850, Serial: 3 (ref=0/0)
Feb 10 21:28:12 bitkiller3 xl2tpd[3834]: start_pppd: I'm running:
Feb 10 21:28:12 bitkiller3 xl2tpd[3834]: "/usr/sbin/pppd"
Feb 10 21:28:12 bitkiller3 xl2tpd[3834]: "passive"
Feb 10 21:28:12 bitkiller3 xl2tpd[3834]: "nodetach"
Feb 10 21:28:12 bitkiller3 xl2tpd[3834]: ":"
Feb 10 21:28:12 bitkiller3 xl2tpd[3834]: "name"
Feb 10 21:28:12 bitkiller3 xl2tpd[3834]: "UserName"
Feb 10 21:28:12 bitkiller3 xl2tpd[3834]: "file"
Feb 10 21:28:12 bitkiller3 xl2tpd[3834]: "/etc/ppp/options.xl2tpd"
Feb 10 21:28:12 bitkiller3 xl2tpd[3834]: "plugin"
Feb 10 21:28:12 bitkiller3 xl2tpd[3834]: "pppol2tp.so"
Feb 10 21:28:12 bitkiller3 xl2tpd[3834]: "pppol2tp"
Feb 10 21:28:12 bitkiller3 xl2tpd[3834]: "8"
Feb 10 21:28:12 bitkiller3 pppd[4754]: Plugin pppol2tp.so loaded.
Feb 10 21:28:12 bitkiller3 pppd[4754]: The remote system (l2tp) is required to authenticate itself
Feb 10 21:28:12 bitkiller3 pppd[4754]: but I couldn't find any suitable secret (password) for it to use to do so.
Feb 10 21:28:12 bitkiller3 xl2tpd[3834]: child_handler : pppd exited for call 19850 with code 1
Feb 10 21:28:12 bitkiller3 xl2tpd[3834]: call_close: Call 60040 to 217.9.86.1 disconnected

Запуск xl2tpd:
sudo /etc/init.d/xl2tpd start
[ ok ] Starting xl2tpd (via systemctl): xl2tpd.service.

Пароль введен дважды: в /etc/ppp/chap-secrets и при подключении

UPD1: Все конфиги как здесь: http://inet.mai.ru/linux.html

 , , ,

bitkiller3 ()

xl2tpd проблема

xl2tpd-1.3.8-2.el7.x86_64

Проблема:

сервер работает, но перестаёт принимать новые соединения.

ip range на сервере 80 адресов.

На момент появления проблемы на сервере 40 - 50 соединений.

Вот такие сообщения на момент подключения клиента в tcpdump'е:

08:18:44.563997 IP клиент.l2tp > сервер.l2tp:  l2tp:[TLS](25019/0)Ns=955,Nr=953 *MSGTYPE(ICRQ) *ASSND_SESS_ID(42) *CALL_SER_NUM(45) *BEARER_TYPE()
08:18:44.601235 IP сервер.l2tp > клиент.l2tp:  l2tp:[TLS](7/42)Ns=953,Nr=956 *MSGTYPE(CDN) *RESULT_CODE(2/4 No available IP address) *ASSND_SESS_ID(4059)
08:18:44.601305 IP сервер.l2tp > клиент.l2tp:  l2tp:[TLS](7/0)Ns=954,Nr=956 ZLB
08:18:44.631191 IP клиент.l2tp > сервер.l2tp:  l2tp:[TLS](25019/0)Ns=956,Nr=954 ZLB
Помогает перезаруск самого xl2tpd.

 

ha-ha ()

xl2tpd - как получить информацию о клиенте?

Добрый день. Есть несколько серверов xl2tpd+ipsec, к нему естественно подключаются отдельные компьютеры. Вопрос: как мне получить какую-то информацию о клиенте? его имя netbios, ip с которого он пришел и т.п.

По модели OSI - это 5ый уровень, т.е. я могу получить инфу лишь по обмену данными между приложениями? Вообще, какую инфу я могу узнать о клиенте в данном случае?

 ,

null123 ()