L2TP/IPSec VPN

[xanamyn]

Здравствуйте,

Девайс - Keenetic Giga II

Прошивка - 2.16.D.1.0-0

Пытаюсь заставить работать VPN туннель по L2TP/IPSec. На другом конце VPS c Debian 9. На этом дебиане поднят strongswan + xl2tpd.

Настройки на роутере:

 

Янв 16 14:13:12  ipsec 11[IKE] received FRAGMENTATION vendor ID

Янв 16 14:13:12 ipsec 11[IKE] received NAT-T (RFC 3947) vendor ID

Янв 16 14:13:12 ipsec 11[CFG] received proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024

Янв 16 14:13:12 ipsec 11[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024

Янв 16 14:13:12 ipsec 11[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024

Янв 16 14:13:13 ipsec 05[IKE] received INVALID_KE_PAYLOAD error notify

Янв 16 14:13:13 ndm IpSec::Configurator: remote peer of crypto map "L2TP0" returned invalid key notification.

Янв 16 14:13:13 ndm IpSec::Configurator: "L2TP0": crypto map active IKE SA: 0, active CHILD SA: 0.

Янв 16 14:13:13 ndm Network::Interface::L2tp: "L2TP0": IPsec layer is down, shutdown L2TP layer.

Янв 16 14:13:13 ndm Network::Interface::Ppp: "L2TP0": disabled connection.

Янв 16 14:13:13 ndm IpSec::Configurator: fallback peer is not defined for crypto map "L2TP0", retry.

Янв 16 14:13:13 ndm IpSec::Configurator: "L2TP0": schedule reconnect for crypto map.

[xanamyn]

Ipsec.conf на debian'е

config setup
  nat_traversal=yes
  virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
  oe=off
  protostack=netkey

conn L2TP-PSK
  authby=secret
  pfs=no
  auto=add
  keyingtries=3
  rekey=yes
  ikelifetime=8h
  keylife=1h
  type=transport
  left=A.B.C.D
  leftprotoport=17/1701
  right=%any
  rightprotoport=17/%any
  forceencaps=yes
  ike=aes128-sha1-modp1024,des-md5-modp768
  esp=aes128-sha1-modp1024,des-md5-modp768
  #keyexchange=ikev2

 

Если переключить на IKEv2 то вылетатае такая ошибка:

Янв 16 14:49:54 ipsec 12[IKE] received NO_PROPOSAL_CHOSEN error notify
Янв 16 14:49:54 ndm IpSec::Configurator: remote peer of crypto map "L2TP0" returned proposal mismatch for IKE phase 1.
Янв 16 14:49:54  ndm IpSec::Configurator: "L2TP0": crypto map active IKE SA: 0, active CHILD SA: 0.
Янв 16 14:49:54 ndm IpSec::Configurator: fallback peer is not defined for crypto map "L2TP0", retry.

Подскажите пожалуйста куда копать?

[Werld]

Keenetic, насколько я знаю, пока не умеет ikev2. Какой версии у вас strongswan на сервере? Некоторые параметры в вашем ipsec.conf не имеют эффекта в новых версиях strongswan, подробнее см здесь. К примеру в параметре esp=aes128-sha1-modp1024  Выделенное - это вы указали группу Диффи-Хелмана, что, в соответствии с wiki.strongswan.org (PFS is enforced by defining a Diffie-Hellman dhgroup in the esp parameter), принуждает использовать pfs, в то же время у вас написано pfs=no. Может и не в этом дело.

 У меня к серверу с убунтой 16.04 кинетик подключается по l2tp/ipsec. Версия strongswan у меня там 5.3.5

Мой ipsec.conf:

config setup
        # strictcrlpolicy=yes
        # uniqueids = no

# Add connections here.
conn L2TP
        fragmentation=yes
        dpdaction=clear
        dpddelay=60s
        dpdtimeout=180s
        keyexchange=ikev1
        keyingtries=3
        ikelifetime=8h
        lifetime=1h
        ike=aes128-sha1-modp1536,aes128-sha1-ecp384,aes128-sha1-modp1024,aes256-sha1-modp1536,aes256-sha1-ecp384,aes256-sha1-modp1024,aes12$
        esp=aes128-sha1,aes256-sha1,aes128-sha256,aes256-sha256
        left=здесь был ip сервера
        leftsubnet=%dynamic[/1701]
        right=%any
        rightsubnet=%dynamic
        leftauth=psk
        rightauth=psk
        type=transport
        auto=add

Изменено 16 января, 2020 пользователем werldmgn

[Le ecureuil]

Keenetic умеет IKEv2, другое дело, что в L2TP/IPsec IKEv2 не поддерживается никем, потому и мы не поддерживаем.

Или неверный ключ, или настройки не совсем подходят - конфиг повыше больше похож на правду.

[xanamyn]

Здравствуйте,

давно не заходил, отвечаю по проблеме - все решилось правильной настройкой секретов.Как оказалось суть была в том, что сервер не мог найти нужную пару ip:secret, поставил ip как * и все заработало.

Как оказалось ошибка гвоорила о том, что неправильный ключ был, но интуитивно казалось что ошибка была в подборе шифрования.

[Le ecureuil]

Небольшой лайфхак для пользователей strongswan.

Можно настроить и включить компонент L2TP/IPsec server, а затем в cli посмотреть содержимое файла temp:ipsec/ipsec.conf.

Его можно даже взять за основу - оно точно содержит в себе рабочий конфиг сервера.