L2TP/IPsec посредством Openswan

Indy	# 4 года, 7 месяцев назад
Темы: 4 Сообщения: 20 Участник с: 23 мая 2017	Приветствую! Есть железка Mikrotik На нем поднят сервер по вот этому мануалу Виндой и андроидом проверено - работает. Пытаюсь подключиться линуксом Вики привела меня к статье Openswan L2TP/IPsec VPN client setup Установил xl2tpd, openswan стартанул сервис опенсвана - всё ок, без ошибок ipsecverify выдал Checking if IPsec got installed and started correctly: Version check and ipsec on-path [OK] Openswan U2.6.49.1/K(no kernel code presently loaded) See `ipsec --copyright' for copyright information. Checking for IPsec support in kernel [FAILED] The ipsec service should be started before running 'ipsec verify' Hardware random device check [N/A] Checking rp_filter [ENABLED] /proc/sys/net/ipv4/conf/all/rp_filter [ENABLED] Checking that pluto is running [FAILED] Checking NAT and MASQUERADEing [TEST INCOMPLETE] Checking 'ip' command [OK] Checking 'iptables' command [OK] ipsec verify: encountered errors Дальше /etc/ipsec.conf config setup virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12 [b]- Честно говоря не совсем понимаю как правильно заполнить эту строку, но нужно чтоб машина получала адресацию от VPN сервера[/b] nat_traversal=yes protostack=netkey oe=no # Replace eth0 with your network interface plutoopts=enps0 [b]- Так светится мой сетевой интерфейс командой ip addr[/b] conn L2TP-PSK authby=secret pfs=no auto=add keyingtries=3 dpddelay=30 dpdtimeout=120 dpdaction=clear rekey=yes ikelifetime=8h keylife=1h type=transport # Replace %any below with your local IP address (private, behind NAT IP is okay as well) left=10.47.1.1 [b]- Локальный IP моей машины[/b] leftprotoport=17/1701 # Replace IP address with your VPN server's IP right=1.1.1.1 [b]- ip vpn сервера, моего микротика[/b] rightprotoport=17/1701 Дальше следует Create the file /etc/ipsec.secrets: It should contain the following line: %any 68.68.32.79 : PSK "your_pre_shared_key" Что и было сделано, адрес 68.68.32.79 заменил на адрес микротика, ввел PSK (без кавычек, верно?) Следующий шаг закончился с ошибкой Add the connection, so it's available to use: $ ipsec auto --add L2TP-PSK `[root@WorkArch etc]# ipsec auto --add L2TP-PSK /usr/lib/openswan/auto: строка 155: 12308 Ошибка сегментирования (стек памяти сброшен на диск) ipsec addconn $config $options $names` Затем перешел к xl2tpd /etc/xl2tpd/xl2tpd.conf `[lac vpn-connection] lns = 1.1.1.1 ppp debug = yes pppoptfile = /etc/ppp/options.l2tpd.client length bit = yes` `/etc/ppp/options.l2tpd.client pcp-accept-local ipcp-accept-remote refuse-eap require-mschap-v2 noccp noauth idle 1800 mtu 1410 mru 1410 defaultroute usepeerdns debug connect-delay 5000 name мой_логин password мой_пароль` Затем выполнил `Create the control file for xl2tpd: $ mkdir -p /var/run/xl2tpd $ touch /var/run/xl2tpd/l2tp-control` И запустил systemctl start openswan На выходе получил `[root@WorkArch xl2tpd]# systemctl start openswan Job for openswan.service failed because the control process exited with error code. See "systemctl status openswan.service" and "journalctl -xe" for details` [root@WorkArch ~]# systemctl status openswan.service ? openswan.service - Openswan daemon Loaded: loaded (/usr/lib/systemd/system/openswan.service; disabled; vendor preset: disabled) Active: failed (Result: exit-code) since Mon 2018-01-08 11:14:04 +11; 1min 1s ago Process: 10371 ExecStop=/usr/lib/systemd/scripts/ipsec --stop (code=exited, status=0/SUCCESS) Process: 13673 ExecStart=/usr/lib/systemd/scripts/ipsec --start (code=exited, status=139) янв 08 11:14:04 MyArch systemd[1]: openswan.service: Service hold-off time over, scheduling restart. янв 08 11:14:04 MyArch systemd[1]: openswan.service: Scheduled restart job, restart counter is at 5. янв 08 11:14:04 MyArch systemd[1]: Stopped Openswan daemon. янв 08 11:14:04 MyArch systemd[1]: openswan.service: Start request repeated too quickly. янв 08 11:14:04 MyArch systemd[1]: openswan.service: Failed with result 'exit-code'. янв 08 11:14:04 MyArch systemd[1]: Failed to start Openswan daemon. Собственно - что я делаю не так? Насколько я понимаю - у ядра не включена поддержка IPSec. Как ее включить (и надо ли?) - не нашел.

# 4 года, 7 месяцев назад

Сообщения: 20

Участник с: 23 мая 2017

Приветствую!
Есть железка Mikrotik
На нем поднят сервер по вот этому мануалу

Виндой и андроидом проверено - работает.
Пытаюсь подключиться линуксом
Вики привела меня к статье Openswan L2TP/IPsec VPN client setup
Установил xl2tpd, openswan
стартанул сервис опенсвана - всё ок, без ошибок

ipsecverify выдал

Checking if IPsec got installed and started correctly:

Version check and ipsec on-path                           [OK]
Openswan U2.6.49.1/K(no kernel code presently loaded)
See `ipsec --copyright' for copyright information.
Checking for IPsec support in kernel                      [FAILED]

 The ipsec service should be started before running 'ipsec verify'

Hardware random device check                              [N/A]
Checking rp_filter                                        [ENABLED]
 /proc/sys/net/ipv4/conf/all/rp_filter                    [ENABLED]
Checking that pluto is running                            [FAILED]
Checking NAT and MASQUERADEing                            [TEST INCOMPLETE]
Checking 'ip' command                                     [OK]
Checking 'iptables' command                               [OK]

ipsec verify: encountered errors

Дальше

/etc/ipsec.conf
config setup
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12 [b]- Честно говоря не совсем понимаю как правильно заполнить эту строку, но нужно чтоб машина получала адресацию от VPN сервера[/b]
    nat_traversal=yes
    protostack=netkey
    oe=no
# Replace eth0 with your network interface
    plutoopts=enps0 [b]- Так светится мой сетевой интерфейс командой ip addr[/b]
conn L2TP-PSK
    authby=secret
    pfs=no
    auto=add
    keyingtries=3
    dpddelay=30
    dpdtimeout=120
    dpdaction=clear
    rekey=yes
    ikelifetime=8h
    keylife=1h
    type=transport
# Replace %any below with your local IP address (private, behind NAT IP is okay as well)
    left=10.47.1.1 [b]- Локальный IP моей машины[/b]
    leftprotoport=17/1701
# Replace IP address with your VPN server's IP
    right=1.1.1.1 [b]- ip vpn сервера, моего микротика[/b]
    rightprotoport=17/1701

Дальше следует
Create the file /etc/ipsec.secrets: It should contain the following line:
%any 68.68.32.79 : PSK "your_pre_shared_key"

Что и было сделано, адрес 68.68.32.79 заменил на адрес микротика, ввел PSK (без кавычек, верно?)

Следующий шаг закончился с ошибкой
Add the connection, so it's available to use:
$ ipsec auto --add L2TP-PSK

[root@WorkArch etc]# ipsec auto --add L2TP-PSK
/usr/lib/openswan/auto: строка 155: 12308 Ошибка сегментирования                   (стек памяти сброшен на диск) ipsec addconn $config $options $names

Затем перешел к xl2tpd
/etc/xl2tpd/xl2tpd.conf

[lac vpn-connection]
lns = 1.1.1.1
ppp debug = yes
pppoptfile = /etc/ppp/options.l2tpd.client
length bit = yes

/etc/ppp/options.l2tpd.client
pcp-accept-local
ipcp-accept-remote
refuse-eap
require-mschap-v2
noccp
noauth
idle 1800
mtu 1410
mru 1410
defaultroute
usepeerdns
debug
connect-delay 5000
name мой_логин
password мой_пароль

Затем выполнил

Create the control file for xl2tpd:
$ mkdir -p /var/run/xl2tpd
$ touch /var/run/xl2tpd/l2tp-control

И запустил
systemctl start openswan

На выходе получил

[root@WorkArch xl2tpd]# systemctl start openswan
Job for openswan.service failed because the control process exited with error code.
See "systemctl status openswan.service" and "journalctl -xe" for details

[root@WorkArch ~]# systemctl status openswan.service
? openswan.service - Openswan daemon
   Loaded: loaded (/usr/lib/systemd/system/openswan.service; disabled; vendor preset: disabled)
   Active: failed (Result: exit-code) since Mon 2018-01-08 11:14:04 +11; 1min 1s ago
  Process: 10371 ExecStop=/usr/lib/systemd/scripts/ipsec --stop (code=exited, status=0/SUCCESS)
  Process: 13673 ExecStart=/usr/lib/systemd/scripts/ipsec --start (code=exited, status=139)

янв 08 11:14:04 MyArch systemd[1]: openswan.service: Service hold-off time over, scheduling restart.
янв 08 11:14:04 MyArch systemd[1]: openswan.service: Scheduled restart job, restart counter is at 5.
янв 08 11:14:04 MyArch systemd[1]: Stopped Openswan daemon.
янв 08 11:14:04 MyArch systemd[1]: openswan.service: Start request repeated too quickly.
янв 08 11:14:04 MyArch systemd[1]: openswan.service: Failed with result 'exit-code'.
янв 08 11:14:04 MyArch systemd[1]: Failed to start Openswan daemon.

Собственно - что я делаю не так? Насколько я понимаю - у ядра не включена поддержка IPSec. Как ее включить (и надо ли?) - не нашел.

vasek	# 4 года, 7 месяцев назад (отредактировано 4 года, 7 месяцев назад)
Темы: 48 Сообщения: 11320 Участник с: 17 февраля 2013	Indy Насколько я понимаю - у ядра не включена поддержка IPSec. Как ее включить (и надо ли?) - не нашел. Поддержка по дефолту включена. Не использую vpn, но в части IP Security, насколько я помню, рекомендуют отключить отправку и прием ICMP пакетов (по умолчанию опции send_redirects, accept_redirects равны 1, нужно установить их значение равным 0). Возможно сейчас все и изменилось. Попробуй. EDIT 1 - кстати, у нас есть пакет ipsec-tools, никогда его не использовал, почитай, что он может - возможно и пригодится. Ошибки не исчезают с опытом - они просто умнеют

vasek

# 4 года, 7 месяцев назад (отредактировано 4 года, 7 месяцев назад)

Темы: 48

Сообщения: 11320

Участник с: 17 февраля 2013

Indy
Насколько я понимаю - у ядра не включена поддержка IPSec. Как ее включить (и надо ли?) - не нашел.

Поддержка по дефолту включена. Не использую vpn, но в части IP Security, насколько я помню, рекомендуют отключить отправку и прием ICMP пакетов (по умолчанию опции send_redirects, accept_redirects равны 1, нужно установить их значение равным 0). Возможно сейчас все и изменилось.
Попробуй.
EDIT 1 - кстати, у нас есть пакет ipsec-tools, никогда его не использовал, почитай, что он может - возможно и пригодится.

Ошибки не исчезают с опытом - они просто умнеют

Indy	# 4 года, 7 месяцев назад
Темы: 4 Сообщения: 20 Участник с: 23 мая 2017	vasek Поддержка по дефолту включена. Хм.. Странно, потому что я то как раз получил Checking for IPsec support in kernel [FAILED] Или это не то? `опции send_redirects, accept_redirects равны 1, нужно установить их значение равным 0` Эммм.. Подскажи, пожалуйста, где это?

Indy

# 4 года, 7 месяцев назад

Темы: 4

Сообщения: 20

Участник с: 23 мая 2017

vasek
Поддержка по дефолту включена.

Хм.. Странно, потому что я то как раз получил
Checking for IPsec support in kernel [FAILED]
Или это не то?

 опции send_redirects, accept_redirects равны 1, нужно установить их значение равным 0

Эммм.. Подскажи, пожалуйста, где это?

vasek	# 4 года, 7 месяцев назад (отредактировано 4 года, 7 месяцев назад)
Темы: 48 Сообщения: 11320 Участник с: 17 февраля 2013	Или в ручную (смотри в папках ls /proc/sys/net/ipv4/conf/.../ файлы send_redirects и accept_redirects) или прописать в /etc//sysctl.d/99-sysctl.conf или следуя совету этой статьи (используя скрипт, взятый на офф. сайте), в которой как раз и описано как избежать ошибки Indy Checking for IPsec support in kernel [FAILED] В догонку посмотри еще и эту статью (в которой то же советуют, чтобы IP redirects был постоянно отключен) - но это все, как писал, возможно уже и устарело, так что советую погуглить. Ошибки не исчезают с опытом - они просто умнеют

vasek

# 4 года, 7 месяцев назад (отредактировано 4 года, 7 месяцев назад)

Темы: 48

Сообщения: 11320

Участник с: 17 февраля 2013

Или в ручную (смотри в папках ls /proc/sys/net/ipv4/conf/.../ файлы send_redirects и accept_redirects) или прописать в /etc//sysctl.d/99-sysctl.conf или следуя совету этой статьи (используя скрипт, взятый на офф. сайте), в которой как раз и описано как избежать ошибки

Indy
Checking for IPsec support in kernel [FAILED]

В догонку посмотри еще и эту статью (в которой то же советуют, чтобы IP redirects был постоянно отключен) - но это все, как писал, возможно уже и устарело, так что советую погуглить.

Ошибки не исчезают с опытом - они просто умнеют

Indy	# 4 года, 7 месяцев назад
Темы: 4 Сообщения: 20 Участник с: 23 мая 2017	ок, спс, погуглю.

Indy	# 4 года, 1 месяц назад (отредактировано 4 года, 1 месяц назад)
Темы: 4 Сообщения: 20 Участник с: 23 мая 2017	Поскольку по поиску "l2tp ipsec arch" в первых рядах гуглится и этот топик - оставлю тут. Работает по этому рецепту (слава Максу, который навел меня на него ;-)). Делать скидку на арч (ибо мануал для центос/редхат и дебиана). Шаги "редхат/центось онли" - не выполнять. Вдруг кому пригодится :-)

Indy

# 4 года, 1 месяц назад (отредактировано 4 года, 1 месяц назад)

Темы: 4

Сообщения: 20

Участник с: 23 мая 2017

Поскольку по поиску "l2tp ipsec arch" в первых рядах гуглится и этот топик - оставлю тут. Работает по этому рецепту (слава Максу, который навел меня на него ;-)). Делать скидку на арч (ибо мануал для центос/редхат и дебиана). Шаги "редхат/центось онли" - не выполнять.
Вдруг кому пригодится :-)

LuD	# 4 года, 1 месяц назад
Темы: 2 Сообщения: 5 Участник с: 07 апреля 2017	Я решил легко все вопросы с помощью strongswan. Те же яица, только удобнее.