Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: l2tp over ipsec = проблемы...  (Прочитано 2777 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Ve0

  • Автор темы
  • Активист
  • *
  • Сообщений: 262
    • Просмотр профиля
    • bUbuntu.spb.ru
l2tp over ipsec = проблемы...
« : 10 Июня 2017, 00:15:56 »
День добрый всем!

Есть микротик, на котором настроен l2tp over ipsec. Все устройства конектится к нему без особых проблем. Но у меня есть маленькая хранилка на Ubuntu Server 16.04 LTS, без гуя (и не поставлю гуй, не упрашивайте). В отчем ситуация такая: ipsec поднимается и нормально работает, а вот l2tp постоянно падает. Вот мой конфиг:
Были установлены strongswan и xl2tpd

root@ms:/# uname -a
Linux ms 4.4.0-80-generic #101-Ubuntu SMP Thu Jun 8 15:35:06 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux

root@ms:/etc# cat ipsec.conf
# ipsec.conf - strongSwan IPsec configuration file

# basic configuration

config setup
# strictcrlpolicy=yes
# uniqueids = no

# Add connections here.

conn %default
ikelifetime=60m
keylife=20m
rekeymargin=3m
keyingtries=1
keyexchange=ikev1
authby=secret
ike=aes128-sha1-modp1024,3des-sha1-modp1024!
esp=aes128-sha1-modp1024,3des-sha1-modp1024!

conn dl2tp
keyexchange=ikev1
left=%defaultroute
auto=add
authby=secret
type=transport
leftprotoport=17/1701
rightprotoport=17/1701
# set this to the ip address of your vpn server
right=some.host

root@ms:/etc/xl2tpd# cat xl2tpd.conf
[global]
ipsec saref = yes

[lac dl2tp]
lns = some.host
refuse chap = yes
refuse pap = yes
ppp debug = yes
pppoptfile = /etc/ppp/options.l2tp
length bit = yes

root@ms:/etc/xl2tpd# cat /etc/ppp/options.l2tp
ipcp-accept-local
ipcp-accept-remote
#asyncmap 0
refuse-eap
require-mschap-v2
noccp
noauth
idle 1800
mtu 1410
mru 1410
defaultroute
usepeerdns
debug
lock
connect-delay 5000

в итоге перезагружаем сервисы
systemctl restart strongswan
systemctl restart xl2tpd

Поднимаем ipsec:
ipsec up dl2tp
Проверяем ipsec туннель:
root@ms:~# ipsec statusall
Status of IKE charon daemon (strongSwan 5.3.5, Linux 4.4.0-80-generic, x86_64):
  uptime: 2 minutes, since Jun 09 14:05:12 2017
  malloc: sbrk 2703360, mmap 0, used 352592, free 2350768
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 0
  loaded plugins: charon test-vectors aes rc2 sha1 sha2 md4 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent xcbc hmac gcm attr kernel-netlink resolve socket-default connmark stroke updown
Listening IP addresses:
  10.0.1.3
Connections:
   dl2tp:  %any...some.host  IKEv1
   dl2tp:   local:  uses pre-shared key authentication
   dl2tp:   remote: [some.host] uses pre-shared key authentication
   dl2tp:   child:  dynamic[udp/l2f] === dynamic[udp/l2f] TRANSPORT
Security Associations (0 up, 0 connecting):
  none

Далее делаем магию:
echo "c dl2tp login password" > /var/run/xl2tpd/l2tp-control
Все поднимается на 5 минут и падает с ошибкой:
Jun  9 14:05:13 ms xl2tpd[21834]: "/etc/ppp/options.l2tp"
Jun  9 14:05:13 ms xl2tpd[21834]: "/dev/pts/2"
Jun  9 14:06:17 ms xl2tpd[21834]: Maximum retries exceeded for tunnel 22432.  Closing.
Jun  9 14:06:17 ms xl2tpd[21834]: Terminating pppd: sending TERM signal to pid 21836
Jun  9 14:06:17 ms xl2tpd[21834]: Connection 8036 closed to 123.321.123.321, port 1701 (Timeout)
Jun  9 14:06:18 ms xl2tpd[21834]: check_control: Received out of order control packet on tunnel 8036 (got 3, expected 2)
Jun  9 14:06:18 ms xl2tpd[21834]: handle_packet: bad control packet!

при этом на каком то ядре (не помню на каком) все работало стабильно... что я делаю не так?
« Последнее редактирование: 10 Июня 2017, 02:19:48 от Ve0 »
bUbuntu - In a world without walls who needs Windows?..

Оффлайн Ve0

  • Автор темы
  • Активист
  • *
  • Сообщений: 262
    • Просмотр профиля
    • bUbuntu.spb.ru
Re: l2tp over ipsec = проблемы...
« Ответ #1 : 13 Июня 2017, 04:05:14 »
Any help?

Предоставлю любые конфиги и информацию ксли этого мало...
bUbuntu - In a world without walls who needs Windows?..

Оффлайн Ve0

  • Автор темы
  • Активист
  • *
  • Сообщений: 262
    • Просмотр профиля
    • bUbuntu.spb.ru
Re: l2tp over ipsec = проблемы...
« Ответ #2 : 14 Июня 2017, 20:32:38 »
Может кто нить подскажет хороший how to по настройки l2tp over IPSec? Если никто не может и не хочет помочь.
bUbuntu - In a world without walls who needs Windows?..

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: l2tp over ipsec = проблемы...
« Ответ #3 : 14 Июня 2017, 20:59:14 »
(Нажмите, чтобы показать/скрыть)
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Ve0

  • Автор темы
  • Активист
  • *
  • Сообщений: 262
    • Просмотр профиля
    • bUbuntu.spb.ru
Re: l2tp over ipsec = проблемы...
« Ответ #4 : 15 Июня 2017, 05:08:11 »
Я пять лет пытаюсь настроить рабочий L2TP. Пока без успеха.
ну хоть как то это же дожно работать на бубунте... ну как так то? у меня обрезан PPTP (хоть и работает стабильно, но не безопастно)....
bUbuntu - In a world without walls who needs Windows?..

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: l2tp over ipsec = проблемы...
« Ответ #5 : 16 Июня 2017, 05:26:45 »
Меня "хоть как-то" не устраивает. Мне нужен РАБОЧИЙ сервер, к которому можно подключиться из коробки с десятка рандомно выбранных систем.
Включая Win7, Android и Ubuntu.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Ve0

  • Автор темы
  • Активист
  • *
  • Сообщений: 262
    • Просмотр профиля
    • bUbuntu.spb.ru
Re: l2tp over ipsec = проблемы...
« Ответ #6 : 17 Июня 2017, 07:30:52 »
Меня "хоть как-то" не устраивает. Мне нужен РАБОЧИЙ сервер, к которому можно подключиться из коробки с десятка рандомно выбранных систем.
Включая Win7, Android и Ubuntu.
Вот, у нас разные вопросы.... У меня в качестве сервера стоит Mikrotik) ПРекрассно работает и настроить все можно как угодно. Все устройства Apple (их у меня больше 6, для каждого свой акк) работают с Mikrotik без проблем... ) А вот бUbuntu сервер не хочет держать соединение. 1 минута стабильно и потом все падает. Хотя на каком то ядре, я не помню на каком, все работало стабильно. Обносился и началось...
bUbuntu - In a world without walls who needs Windows?..

Оффлайн Ve0

  • Автор темы
  • Активист
  • *
  • Сообщений: 262
    • Просмотр профиля
    • bUbuntu.spb.ru
Re: l2tp over ipsec = проблемы...
« Ответ #7 : 22 Июня 2017, 02:10:04 »
обновилось ядро до
veo@MS:~$ uname -a
Linux MS 4.4.0-82-generic #105-Ubuntu SMP Tue Jun 20 15:23:02 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux
Началась жесть. Теперь при попытке установить соединение оно устанавлявается а тотом сервак виснет наглухо!!!...
Jun 21 16:50:32 MS xl2tpd[6923]: Maximum retries exceeded for tunnel 36203.  Closing.
Jun 21 16:50:33 MS kernel: [  920.134328] NMI watchdog: BUG: soft lockup - CPU#3 stuck for 22s! [ifconfig:7010]
Jun 21 16:50:33 MS kernel: [  920.134428] Modules linked in: twofish_generic twofish_x86_64_3way twofish_x86_64 twofish_common serpent_sse2_x86_64 serpent_generic blowfish_generic blowfish_x86_64 blowfish_common cast5_generic cast_common drbg ansi_cprng ctr des_generic algif_skcipher camellia_generic camellia_x86_64 xts xcbc md4 algif_hash af_alg l2tp_ppp l2tp_netlink l2tp_core ip6_udp_tunnel udp_tunnel pppoe pppox xfrm_user xfrm4_tunnel tunnel4 ipcomp xfrm_ipcomp esp4 ah4 af_key xfrm_algo eeepc_wmi ppdev asus_wmi sparse_keymap arc4 ath9k ath9k_common ath9k_hw ath mac80211 intel_rapl intel_powerclamp kvm_intel kvm irqbypass punit_atom_debug cfg80211 serio_raw lpc_ich snd_soc_rt5670 joydev input_leds shpchp snd_intel_sst_acpi mei_txe mei snd_intel_sst_core snd_soc_rl6231 snd_soc_sst_mfld_platform snd_soc_core snd_compress parport_pc ac97_bus snd_pcm_dmaengine parport 8250_fintek snd_pcm dw_dmac nxp_nci_i2c snd_timer nxp_nci dw_dmac_core mac_hid nci dwc3 nfc snd tpm_infineon udc_core soundcore soc_button_array ulpi i2c_designware_platform i2c_designware_core rfkill_gpio spi_pxa2xx_platform 8250_dw acpi_pad pwm_lpss_platform pwm_lpss ib_iser rdma_cm iw_cm ib_cm ib_sa ib_mad ib_core ib_addr iscsi_tcp libiscsi_tcp libiscsi scsi_transport_iscsi nct6775 hwmon_vid coretemp autofs4 btrfs raid10 raid456 async_raid6_recov async_memcpy async_pq async_xor async_tx xor raid6_pq libcrc32c raid1 raid0 multipath linear dm_mirror dm_region_hash dm_log hid_generic usbhid crct10dif_pclmul crc32_pclmul ghash_clmulni_intel i915 aesni_intel i2c_algo_bit aes_x86_64 drm_kms_helper lrw gf128mul syscopyarea sysfillrect glue_helper ablk_helper sysimgblt r8169 psmouse cryptd fb_sys_fops mii ahci drm libahci wmi video fjes sdhci_acpi i2c_hid hid sdhci
Jun 21 16:50:33 MS kernel: [  920.134614] CPU: 3 PID: 7010 Comm: ifconfig Tainted: G             L  4.4.0-82-generic #105-Ubuntu
Jun 21 16:50:33 MS kernel: [  920.134623] Hardware name: ASUS All Series/N3150I-C, BIOS 0304 05/28/2015
Jun 21 16:50:33 MS kernel: [  920.134627] task: ffff880072226600 ti: ffff8802728b8000 task.ti: ffff8802728b8000
Jun 21 16:50:33 MS kernel: [  920.134629] RIP: 0010:[<ffffffff810cb17c>]  [<ffffffff810cb17c>] native_queued_spin_lock_slowpath+0x15c/0x170
Jun 21 16:50:33 MS kernel: [  920.134640] RSP: 0018:ffff8802728bbc78  EFLAGS: 00000202
Jun 21 16:50:33 MS kernel: [  920.134642] RAX: 0000000000000101 RBX: ffff880035280000 RCX: 0000000000000001
Jun 21 16:50:33 MS kernel: [  920.134645] RDX: 0000000000000101 RSI: 0000000000000001 RDI: ffff8800352808c0
Jun 21 16:50:33 MS kernel: [  920.134647] RBP: ffff8802728bbc78 R08: 0000000000000101 R09: 0000000000000239
Jun 21 16:50:33 MS kernel: [  920.134650] R10: ffff880274fa1000 R11: ffff880274fa1238 R12: ffff8802728bbd48
Jun 21 16:50:33 MS kernel: [  920.134652] R13: ffff8800352808c0 R14: ffff880270eda0c0 R15: ffff880035280000
Jun 21 16:50:33 MS kernel: [  920.134656] FS:  00007f97c3b4b700(0000) GS:ffff88027fd80000(0000) knlGS:0000000000000000
Jun 21 16:50:33 MS kernel: [  920.134665] CS:  0010 DS: 0000 ES: 0000 CR0: 0000000080050033
Jun 21 16:50:33 MS kernel: [  920.134668] CR2: 00007f97c3670560 CR3: 0000000272889000 CR4: 00000000001006e0
Jun 21 16:50:33 MS kernel: [  920.134670] Stack:
Jun 21 16:50:33 MS kernel: [  920.134673]  ffff8802728bbc88 ffffffff8184169c ffff8802728bbcb0 ffffffff8160b491
Jun 21 16:50:33 MS kernel: [  920.134679]  ffff8802728bbd48 ffff880035280000 ffff88026fd24d00 ffff8802728bbcd0
Jun 21 16:50:33 MS kernel: [  920.134684]  ffffffff8172fc94 ffff880270eda0c0 ffff880035280000 ffff8802728bbe18
Jun 21 16:50:33 MS kernel: [  920.134689] Call Trace:
Jun 21 16:50:33 MS kernel: [  920.134700]  [<ffffffff8184169c>] _raw_spin_lock_bh+0x2c/0x30
Jun 21 16:50:33 MS kernel: [  920.134707]  [<ffffffff8160b491>] ppp_get_stats64+0x51/0xc0
Jun 21 16:50:33 MS kernel: [  920.134713]  [<ffffffff8172fc94>] dev_get_stats+0x54/0x100
Jun 21 16:50:33 MS kernel: [  920.134719]  [<ffffffff81754497>] dev_seq_printf_stats+0x37/0x120
Jun 21 16:50:33 MS kernel: [  920.134728]  [<ffffffff81754594>] dev_seq_show+0x14/0x30
Jun 21 16:50:33 MS kernel: [  920.134734]  [<ffffffff81233ff6>] seq_read+0x2d6/0x390
Jun 21 16:50:33 MS kernel: [  920.134740]  [<ffffffff8127cdc2>] proc_reg_read+0x42/0x70
Jun 21 16:50:33 MS kernel: [  920.134746]  [<ffffffff8120edb8>] __vfs_read+0x18/0x40
Jun 21 16:50:33 MS kernel: [  920.134750]  [<ffffffff8120f386>] vfs_read+0x86/0x130
Jun 21 16:50:33 MS kernel: [  920.134755]  [<ffffffff812100d5>] SyS_read+0x55/0xc0
Jun 21 16:50:33 MS kernel: [  920.134759]  [<ffffffff81841b72>] entry_SYSCALL_64_fastpath+0x16/0x71
Jun 21 16:50:33 MS kernel: [  920.134762] Code: 01 48 8b 02 48 85 c0 75 0a f3 90 48 8b 02 48 85 c0 74 f6 c7 40 08 01 00 00 00 e9 63 ff ff ff 83 fa 01 75 07 e9 c4 fe ff ff f3 90 <8b> 07 84 c0 75 f8 b8 01 00 00 00 66 89 07 5d c3 0f 1f 40 00 0f
packet_write_wait: Connection to 10.0.1.3 port 22: Broken pipe

И привет....
« Последнее редактирование: 22 Июня 2017, 03:01:39 от Ve0 »
bUbuntu - In a world without walls who needs Windows?..

Оффлайн whyborn

  • Новичок
  • *
  • Сообщений: 2
    • Просмотр профиля
Re: l2tp over ipsec = проблемы...
« Ответ #8 : 05 Июля 2018, 11:48:15 »
кажется проблема в require-mschap-v2
ubuntu работает с chap

Оффлайн bukass

  • Активист
  • *
  • Сообщений: 976
    • Просмотр профиля
Re: l2tp over ipsec = проблемы...
« Ответ #9 : 05 Июля 2018, 12:19:38 »
кажется проблема в require-mschap-v2
ubuntu работает с chap
К стати - да, очень даже возможно.
Всем пора в Изумрудный город, кому за умом, кому за сердцем.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: l2tp over ipsec = проблемы...
« Ответ #10 : 05 Июля 2018, 16:17:43 »
кажется проблема в require-mschap-v2
ubuntu работает с chap
Это вряд ли.
« Последнее редактирование: 09 Июля 2018, 09:35:18 от Azure »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.071 секунд. Запросов: 25.