Klient VPN L2TP / IPSec w usłudze Ubuntu 16.04 VPN nie uruchomił się

12

W systemie Ubuntu 16.04 wykonałem już kilka samouczków, aby odbudować menedżera sieci, również zainstalowanego za pośrednictwem apt-get install network-manager-l2tp network-manager-l2tp-gnome.

Działało do wczoraj, kiedy pojawiła się przypadkowa wiadomość The VPN connection failed because the VPN service failed to start. Nie ma błędów w konfiguracji, ponieważ te same poświadczenia VPN i host są używane w innym Ubuntu, również 16.04 i Windows 8.1.

Patrząc na /var/log/syslog:

NetworkManager[899]: <info>  [1496143714.1953] audit: op="connection-activate" uuid="cac1651d-9cbd-4989-bc57-b9707ddd012a" name="VPNCS" pid=2295 uid=1000 result="success"
NetworkManager[899]: <info>  [1496143714.1973] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: Started the VPN service, PID 5798
NetworkManager[899]: <info>  [1496143714.2013] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: Saw the service appear; activating connection
NetworkManager[899]: <info>  [1496143714.2760] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: VPN connection: (ConnectInteractive) reply received
NetworkManager[899]: nm-l2tp[5798] <info>  ipsec enable flag: yes
NetworkManager[899]: ** Message: Check port 1701
NetworkManager[899]: nm-l2tp[5798] <info>  starting ipsec
NetworkManager[899]: Stopping strongSwan IPsec...
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22167, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22168, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22169, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22170, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22171, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22172, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22173, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22174, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22175, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22176, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22177, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22178, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22179, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22180, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22181, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22182, major_opcode = 33, minor_opcode = 0
NetworkManager[899]: Starting strongSwan 5.5.2 IPsec [starter]...
NetworkManager[899]: Loading config setup
NetworkManager[899]: Loading conn 'cac1651d-9cbd-4989-bc57-b9707ddd012a'
NetworkManager[899]: found netkey IPsec stack
charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.5.2, Linux 4.4.0-78-generic, x86_64)
NetworkManager[899]: nm-l2tp[5798] <warn>  IPsec service is not ready.
NetworkManager[899]: nm-l2tp[5798] <warn>  Could not establish IPsec tunnel.
NetworkManager[899]: (nm-l2tp-service:5798): GLib-GIO-CRITICAL **: g_dbus_method_invocation_take_error: assertion 'error != NULL' failed
NetworkManager[899]: <info>  [1496143732.4905] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: VPN plugin: state changed: stopped (6)
NetworkManager[899]: <info>  [1496143732.4929] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: VPN plugin: state change reason: unknown (0)
NetworkManager[899]: <info>  [1496143732.4952] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: VPN service disappeared
NetworkManager[899]: <warn>  [1496143732.4971] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: VPN connection: failed to connect: 'Message recipient disconnected from message bus without replying'

Ja już próbowałem usuwania network-manager-l2tpi -gnomepakiety i zainstalować je ponownie, ale nadal mam ten sam błąd.

Jakaś poprawka?

Fabiano
źródło

Odpowiedzi:

14

Znalazłem rozwiązanie w repozytorium programisty.

https://github.com/nm-l2tp/network-manager-l2tp/issues/38#issuecomment-303052751

Wersja 1.2.6 nie zastępuje już domyślnych szyfrów IPsec i podejrzewam, że twój serwer VPN korzysta ze starszego szyfru, nowsze wersje silnego Swana uważane są za uszkodzone.

Zobacz sekcję zestawów szyfrów IPsec podaną przez użytkownika w pliku README.md, w jaki sposób uzupełnić domyślne szyfry strongSwan własnymi:

https://github.com/nm-l2tp/network-manager-l2tp#user-specified-ipsec-ikev1-cipher-suites

Polecam zainstalowanie pakietu ike-scan, aby sprawdzić, jakie szyfry obsługuje Twój serwer VPN, np .:

$ sudo systemctl stop strongswan  
$ sudo ike-scan 123.54.76.9  
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
123.54.76.9   Main Mode Handshake returned HDR=(CKY-R=5735eb949670e5dd) SA=(Enc=3DES Hash=SHA1 Auth=PSK Group=2:modp1024 LifeType=Seconds LifeDuration(4)=0x00007080)
Ending ike-scan 1.9: 1 hosts scanned in 0.263 seconds (3.80 hosts/sec).  1 returned handshake; 0 returned notify

Tak więc w tym przykładzie, w którym reklamowany jest zepsuty szyfr 3DES, w sekcji zaawansowanej okna dialogowego IPsec dla wersji 1.2.6 dodaj:

  • Algorytmy fazy 1: 3des-sha1-modp1024

  • Algorytmy fazy 2: 3des-sha1

Po wykonaniu wszystkich kroków spróbuj połączyć się z L2TP, musisz je ustanowić.

PRIHLOP
źródło
Oszczędzanie życia! Chciałbym dodać, że jeśli uruchomisz sudo ike-scan <address>i zwróci coś o powiązaniu i porcie już używanym, możliwe, że systemctl stop strongswanto za mało i charonnadal działa. Można potwierdzić, że uruchomiono sudo netstat -npli sprawdzono górny blok, w którym pokazano procesy i używane porty. Mógłbym całkowicie zatrzymać bieganie charona sudo service strongswan stop, nie jestem pewien, dlaczego tak się systemctlzachowało.
Fabiano
3
-sPrzełącznik ike-scanok zaoszczędzić trochę polowanie PID). Może cię nawet uratować sudo: ike-scan -s 60066 <IP>
brisssou,
Myślę, że ponieważ Strongswan jest usługą „starszą”, skrypty systemowectl przekazują warstwę kompatybilności, która może nie obsługiwać wszystkich zależności poprawnie. Zauważyłem podobny problem z tym, że systemctl przestał wystarczać, aby umożliwić korzystanie z ike-scan.
dragon788
Właśnie natrafiłem na inny problem z procesem korzystającym z portu 500. Powoduje to również, że moje połączenie zwróciło limit czasu. W tym przypadku znalazłem go, próbując uruchomić ike-scani powiedział, że port 500 był już w użyciu. za pomocą netstat -nplpokazano, że docker-proxygo używał. Ponieważ nie jestem zależny od dokera, zatrzymałem go sudo service docker stopi mogłem pomyślnie połączyć się z L2TP VPN.
Fabiano
2

Ta odpowiedź dotyczy połączenia z kontem Cisco Meraki w sieci VPN L2TP / IP. Rozwiązanie działa na moim systemie Ubuntu 16.04. Wszystkie instrukcje są kopiowane bezpośrednio z odpowiedzi Pigmana w tym wątku na forum Meraki . Czapki z głów przed nim, oszczędził mi godzin frustracji.

  1. Zainstaluj network-manager-l2tp: sudo add-apt-repository ppa:nm-l2tp/network-manager-l2tpi `sudo apt-get update sudo apt-get install network-manager-l2tp
  2. Jeśli używasz gnome, zainstaluj wtyczkę gnome (jeśli używasz innego środowiska pulpitu, sprawdź, czy jest wtyczka dla jego menedżera sieci): sudo apt-get install network-manager-l2tp-gnome
  3. Restart
  4. Przejdź do Ustawienia> Sieć> Kliknij przycisk +> Wybierz „Protokół tunelowania warstwy 2 (L2TP)”
  5. Nazwij coś nowego połączenia VPN
  6. Wpisz nazwę lub adres hosta w polu Brama.
  7. Wpisz nazwę użytkownika w polu Nazwa użytkownika.
  8. Kliknij ikonę w polu Hasło i wybierz preferencje dotyczące sposobu podania hasła.
  9. Kliknij Ustawienia IPSec ...
  10. Kliknij pole „Włącz tunel IPsec do hosta L2TP”
  11. Wprowadź wspólny klucz tajny w polu Klucz wstępny.
  12. Pozostaw pole ID bramki puste.
  13. Rozwiń obszar Opcje zaawansowane
  14. Wpisz „3des-sha1-modp1024” w polu Algorytmy fazy 1.
  15. Wpisz „3des-sha1” w polu Algorytmy fazy 2.
  16. Pozostaw zaznaczone pole „Wymuszaj enkapsulację UDP”.
  17. Kliknij OK.
  18. Kliknij Zapisz.
  19. Otwórz terminal i wprowadź następujące polecenia, aby trwale wyłączyć usługę xl2tpdservice: sudo service xl2tpd stop
  20. Wpisz także następujące informacje: sudo systemctl disable xl2tpd
  21. Otwórz Ustawienia sieci i spróbuj włączyć VPN.

Jeszcze kilka kroków od poprzednich odpowiedzi, żeby być niezawodnym

  1. sudo service strongswan stop
  2. sudo systemctl disable strongswan
  3. Możesz zapisać hasło na stronie konfiguracji VPN, klikając ikonę po prawej stronie pola tekstowego hasła
twitu
źródło
1
Dzięki, że to działało dla mnie. Linux Mint 19.2 (U18.04). Nie musiałem wyłączać strongswan ani xl2tpd, właśnie wstawiłem wartość w polu „Gateway ID” i właśnie to zepsuło. W przypadku pracy TP-Link Box było to 3des-md5-modp1024.
Aaron Chamberlain,