IPSEC/L2TP VPN на Ubuntu 12.04.1 на AWS
Проблема решилась использованием этого скрипта специально для настройки на aws.
Без проблем настроил PPTP VPN на облаке Амазона — всё работает.
Сейчас пытаюсь настроить IPSEC/L2TP подключение по этому топику (потом нашёл ещё одну инструкцию)
Сначала при попытку перезагрузить настройки консоль мне писала (с пустой строкой на месте ошибки):
Segmentation fault (core dumped) failed to start openswan IKE daemon — the following error occured: Опытным путём выяснилось, что причина в строке rightprotoport=17/%any в /etc/ipsec.conf. Заменил её на rightprotoport=17/0 (понятия не имею, что это значит). Перезагрузка настроек стала проходить без ошибок. Поменял обратно, магия, но все работает. Возможна причина была в отсутствии перевода строки в файле конфигурации. В общем, уже неважно.
sudo ipsec verify сейчас пишет:
Checking your system to see if IPsec got installed and started correctly: Version check and ipsec on-path [OK] Linux Openswan U2.6.37/K3.2.0-31-virtual (netkey) Checking for IPsec support in kernel [OK] SAref kernel support [N/A] NETKEY: Testing XFRM related proc values [OK] [OK] [OK] Checking that pluto is running [OK] Pluto listening for IKE on udp 500 [OK] Pluto listening for NAT-T on udp 4500 [OK] Checking for 'ip' command [OK] Checking /bin/sh is not /bin/dash [WARNING] Checking for 'iptables' command [OK] Opportunistic Encryption Support [DISABLED]
Вроде всё должно работать, но попытки подключиться не удаются. Win7 пишет: «Ошибка 789. Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным компьютером».
Айфон подключиться тоже не может.
Вот файлы настроек (собранные уже откуда только можно):
/etc/rc.local
for vpn in /proc/sys/net/ipv4/conf/*; do echo 0 > $vpn/accept_redirects; echo 0 > $vpn/send_redirects; done iptables --table nat --append POSTROUTING --jump MASQUERADE exit 0
/etc/ipsec.conf
config setup dumpdir=/var/run/pluto/ nat_traversal=yes virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v6:fd00::/8,%v6:fe80::/10 protostack=netkey conn L2TP-PSK-NAT rightsubnet=vhost:%priv also=L2TP-PSK-noNAT conn L2TP-PSK-noNAT authby=secret pfs=no auto=add keyingtries=3 ikelifetime=8h keylife=1h type=transport left=ELASTIC IP ADDRESS leftprotoport=17/1701 right=%any rightprotoport=17/0
/etc/ipsec.secret
ELASTIC IP %any: PSK «Passphrase»
/etc/xl2tpd/xl2tpd.conf
[global] ipsec saref = yes listen-addr = ELASTIC IP port = 1701; * Bind to port 1701 auth file = /etc/ppp/chap-secrets; * Where our challenge secrets are [lns default] ip range = 172.16.1.30-172.16.1.100; ip range = range of IPs to give to the connecting clients local ip = 172.16.1.1 refuse pap = yes require authentication = yes ppp debug = no; yes for testing pppoptfile = /etc/ppp/options.xl2tpd length bit = yes
/etc/ppp/options.xl2tpd
require-mschap-v2 ms-dns 8.8.8.8 ms-dns 8.8.4.4 asyncmap 0 auth mtu 1200 mru 1000 crtscts hide-password modem name l2tpd proxyarp lcp-echo-interval 30 lcp-echo-failure 4 noipx
/etc/ppp/chap-secrets
user1 pptpd Pass * user2 l2tpd Pass *
Вроде бы всё. У кого-то есть идеи, в чем причина того, что всё это не работает?
А, да, в security group для инстанса открыты все tcp и udp порты на время экспериментов. Ubuntu 64 битная.
Вот что пишет auth.log о попытке подключения:
Скрытый текстDec 21 20:26:00 (instance local ip) pluto[5222]: packet from (my ip):500: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000008] Dec 21 20:26:00 (instance local ip) pluto[5222]: packet from (my ip):500: received Vendor ID payload [RFC 3947] method set to=109 Dec 21 20:26:00 (instance local ip) pluto[5222]: packet from (my ip):500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] meth=106, but already using method 109 Dec 21 20:26:00 (instance local ip) pluto[5222]: packet from (my ip):500: ignoring Vendor ID payload [FRAGMENTATION] Dec 21 20:26:00 (instance local ip) pluto[5222]: packet from (my ip):500: ignoring Vendor ID payload [MS-Negotiation Discovery Capable] Dec 21 20:26:00 (instance local ip) pluto[5222]: packet from (my ip):500: ignoring Vendor ID payload [Vid-Initial-Contact] Dec 21 20:26:00 (instance local ip) pluto[5222]: packet from (my ip):500: ignoring Vendor ID payload [IKE CGA version 1] Dec 21 20:26:00 (instance local ip) pluto[5222]: packet from (my ip):500: initial Main Mode message received on (instance local ip):500 but no connection has been authorized with policy=PSK
Без проблем настроил PPTP VPN на облаке Амазона — всё работает.
Сейчас пытаюсь настроить IPSEC/L2TP подключение по этому топику (потом нашёл ещё одну инструкцию)
Сначала при попытку перезагрузить настройки консоль мне писала (с пустой строкой на месте ошибки):
Segmentation fault (core dumped) failed to start openswan IKE daemon — the following error occured: Опытным путём выяснилось, что причина в строке rightprotoport=17/%any в /etc/ipsec.conf. Заменил её на rightprotoport=17/0 (понятия не имею, что это значит). Перезагрузка настроек стала проходить без ошибок. Поменял обратно, магия, но все работает. Возможна причина была в отсутствии перевода строки в файле конфигурации. В общем, уже неважно.
sudo ipsec verify сейчас пишет:
Checking your system to see if IPsec got installed and started correctly: Version check and ipsec on-path [OK] Linux Openswan U2.6.37/K3.2.0-31-virtual (netkey) Checking for IPsec support in kernel [OK] SAref kernel support [N/A] NETKEY: Testing XFRM related proc values [OK] [OK] [OK] Checking that pluto is running [OK] Pluto listening for IKE on udp 500 [OK] Pluto listening for NAT-T on udp 4500 [OK] Checking for 'ip' command [OK] Checking /bin/sh is not /bin/dash [WARNING] Checking for 'iptables' command [OK] Opportunistic Encryption Support [DISABLED]
Вроде всё должно работать, но попытки подключиться не удаются. Win7 пишет: «Ошибка 789. Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным компьютером».
Айфон подключиться тоже не может.
Вот файлы настроек (собранные уже откуда только можно):
/etc/rc.local
for vpn in /proc/sys/net/ipv4/conf/*; do echo 0 > $vpn/accept_redirects; echo 0 > $vpn/send_redirects; done iptables --table nat --append POSTROUTING --jump MASQUERADE exit 0
/etc/ipsec.conf
config setup dumpdir=/var/run/pluto/ nat_traversal=yes virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v6:fd00::/8,%v6:fe80::/10 protostack=netkey conn L2TP-PSK-NAT rightsubnet=vhost:%priv also=L2TP-PSK-noNAT conn L2TP-PSK-noNAT authby=secret pfs=no auto=add keyingtries=3 ikelifetime=8h keylife=1h type=transport left=ELASTIC IP ADDRESS leftprotoport=17/1701 right=%any rightprotoport=17/0
/etc/ipsec.secret
ELASTIC IP %any: PSK «Passphrase»
/etc/xl2tpd/xl2tpd.conf
[global] ipsec saref = yes listen-addr = ELASTIC IP port = 1701; * Bind to port 1701 auth file = /etc/ppp/chap-secrets; * Where our challenge secrets are [lns default] ip range = 172.16.1.30-172.16.1.100; ip range = range of IPs to give to the connecting clients local ip = 172.16.1.1 refuse pap = yes require authentication = yes ppp debug = no; yes for testing pppoptfile = /etc/ppp/options.xl2tpd length bit = yes
/etc/ppp/options.xl2tpd
require-mschap-v2 ms-dns 8.8.8.8 ms-dns 8.8.4.4 asyncmap 0 auth mtu 1200 mru 1000 crtscts hide-password modem name l2tpd proxyarp lcp-echo-interval 30 lcp-echo-failure 4 noipx
/etc/ppp/chap-secrets
user1 pptpd Pass * user2 l2tpd Pass *
Вроде бы всё. У кого-то есть идеи, в чем причина того, что всё это не работает?
А, да, в security group для инстанса открыты все tcp и udp порты на время экспериментов. Ubuntu 64 битная.
Вот что пишет auth.log о попытке подключения:
Скрытый текстDec 21 20:26:00 (instance local ip) pluto[5222]: packet from (my ip):500: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000008] Dec 21 20:26:00 (instance local ip) pluto[5222]: packet from (my ip):500: received Vendor ID payload [RFC 3947] method set to=109 Dec 21 20:26:00 (instance local ip) pluto[5222]: packet from (my ip):500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] meth=106, but already using method 109 Dec 21 20:26:00 (instance local ip) pluto[5222]: packet from (my ip):500: ignoring Vendor ID payload [FRAGMENTATION] Dec 21 20:26:00 (instance local ip) pluto[5222]: packet from (my ip):500: ignoring Vendor ID payload [MS-Negotiation Discovery Capable] Dec 21 20:26:00 (instance local ip) pluto[5222]: packet from (my ip):500: ignoring Vendor ID payload [Vid-Initial-Contact] Dec 21 20:26:00 (instance local ip) pluto[5222]: packet from (my ip):500: ignoring Vendor ID payload [IKE CGA version 1] Dec 21 20:26:00 (instance local ip) pluto[5222]: packet from (my ip):500: initial Main Mode message received on (instance local ip):500 but no connection has been authorized with policy=PSK
Похожие публикации
Как лучше организовать VPN в данной ситуации?
VPN (IPSEC) в DMZ?
Как завернуть трафик отправленный на прямой ip через vpn-сеть?
Как настроить дополнительные IP адреса в Ubuntu?
Как правильно реализовать цепочку vpn-прокси?
Нет комментариев