l2tp/ipsec client NEED HELP

[kuzminishna]

Добрый день.
Need help!
Ситуация такова. Есть сервак на винде с  l2tp/ipsec. Настраивал подключение к нему из винды и из Убунты с гуями. Всё норм. Теперь надо настроить подключение из Убунты без гуёв. Установил xl2tpd и strongswan.
/etc/ipsec.conf

(Нажмите, чтобы показать/скрыть)

# ipsec.conf - strongSwan IPsec configuration file

# basic configuration

config setup
   # strictcrlpolicy=yes
   # uniqueids = no
   

# Add connections here.

conn   l2tpvpn
  keyingtries=0
  left=%defaultroute
  right=xxx.xxx.xxx.xxx
  rightid=%any
  rightprotoport=udp/l2tp
  leftprotoport=udp/l2tp
  auto=add
  authby=secret
  type=transport
  keyexchange=ikev1
  ike=3des-sha1-modp1024
  esp=3des-sha1

ipsec туннель поднимается нормально

(Нажмите, чтобы показать/скрыть)

Security Associations (1 up, 0 connecting):
     l2tpvpn[1]: ESTABLISHED 15 seconds ago, 192.168.0.11[192.168.0.11]...xxx.xxx.xxx.xxx[192.168.1.244]
     l2tpvpn{1}:  INSTALLED, TRANSPORT, reqid 1, ESP in UDP SPIs: c1cd5e17_i a9ebe403_o
     l2tpvpn{1}:   192.168.0.11/32[udp/l2f] === xxx.xxx.xxx.xxx/32[udp/l2f]

А дальше l2tp туннель не поднимается

xl2tpd.conf

(Нажмите, чтобы показать/скрыть)

[global]
   access control = yes
[lac l2tpvpn]
   lns = xxx.xxx.xxx.xxx
   ppp debug = yes
   pppoptfile = /etc/ppp/options.xl2tpd
   autodial = yes
   tunnel rws = 8
   tx bps = 100000000
   rx bps = 100000000

options.xl2tpd

(Нажмите, чтобы показать/скрыть)

nodetach
usepeerdns
noipdefault
nodefaultroute
noauth
noccp
refuse-eap
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
mru 1400
mtu 1400
lcp-echo-failure 8
lcp-echo-interval 3

/etc/ppp/chap-secrets
admin   *   <пароль>   *

Лог подключение

(Нажмите, чтобы показать/скрыть)

Mar  5 13:37:18 kuzma-ub systemd[1]: Starting LSB: layer 2 tunelling protocol daemon...
Mar  5 13:37:18 kuzma-ub xl2tpd[3713]: Not looking for kernel SAref support.
Mar  5 13:37:18 kuzma-ub xl2tpd[3713]: Using l2tp kernel support.
Mar  5 13:37:18 kuzma-ub xl2tpd[3709]: Starting xl2tpd: xl2tpd.
Mar  5 13:37:18 kuzma-ub xl2tpd[3714]: xl2tpd version xl2tpd-1.3.10 started on kuzma-ub PID:3714
Mar  5 13:37:18 kuzma-ub systemd[1]: Started LSB: layer 2 tunelling protocol daemon.
Mar  5 13:37:18 kuzma-ub xl2tpd[3714]: Written by Mark Spencer, Copyright (C) 1998, Adtran, Inc.
Mar  5 13:37:18 kuzma-ub xl2tpd[3714]: Forked by Scott Balmos and David Stipp, (C) 2001
Mar  5 13:37:18 kuzma-ub xl2tpd[3714]: Inherited by Jeff McAdams, (C) 2002
Mar  5 13:37:18 kuzma-ub xl2tpd[3714]: Forked again by Xelerance (www.xelerance.com) (C) 2006-2016
Mar  5 13:37:18 kuzma-ub xl2tpd[3714]: Listening on IP address 0.0.0.0, port 1701
Mar  5 13:37:18 kuzma-ub xl2tpd[3714]: Connecting to host xxx.xxx.xxx.xxx, port 1701
Mar  5 13:37:18 kuzma-ub xl2tpd[3714]: Connection established to xxx.xxx.xxx.xxx, 1701.  Local: 56535, Remote: 86 (ref=0/0).
Mar  5 13:37:18 kuzma-ub xl2tpd[3714]: Calling on tunnel 56535
Mar  5 13:37:18 kuzma-ub xl2tpd[3714]: Call established with xxx.xxx.xxx.xxx, Local: 8799, Remote: 1, Serial: 1 (ref=0/0)
Mar  5 13:37:18 kuzma-ub xl2tpd[3714]: start_pppd: I'm running:
Mar  5 13:37:18 kuzma-ub xl2tpd[3714]: "/usr/sbin/pppd"
Mar  5 13:37:18 kuzma-ub xl2tpd[3714]: "plugin"
Mar  5 13:37:18 kuzma-ub xl2tpd[3714]: "pppol2tp.so"
Mar  5 13:37:18 kuzma-ub xl2tpd[3714]: "pppol2tp"
Mar  5 13:37:18 kuzma-ub xl2tpd[3714]: "7"
Mar  5 13:37:18 kuzma-ub xl2tpd[3714]: "passive"
Mar  5 13:37:18 kuzma-ub xl2tpd[3714]: "nodetach"
Mar  5 13:37:18 kuzma-ub xl2tpd[3714]: ":"
Mar  5 13:37:18 kuzma-ub xl2tpd[3714]: "debug"
Mar  5 13:37:18 kuzma-ub xl2tpd[3714]: "file"
Mar  5 13:37:18 kuzma-ub xl2tpd[3714]: "/etc/ppp/options.xl2tpd"
Mar  5 13:37:18 kuzma-ub pppd[3715]: Plugin pppol2tp.so loaded.
Mar  5 13:37:18 kuzma-ub pppd[3715]: pppd 2.4.7 started by root, uid 0
Mar  5 13:37:18 kuzma-ub pppd[3715]: using channel 2
Mar  5 13:37:18 kuzma-ub pppd[3715]: Using interface ppp0
Mar  5 13:37:18 kuzma-ub pppd[3715]: Connect: ppp0 <-->
Mar  5 13:37:18 kuzma-ub NetworkManager[865]: <info>  [1551782238.5171] manager: (ppp0): new Ppp device (/org/freedesktop/NetworkManager/Devices/5)
Mar  5 13:37:18 kuzma-ub pppd[3715]: Overriding mtu 1500 to 1400
Mar  5 13:37:18 kuzma-ub systemd-udevd[3716]: link_config: autonegotiation is unset or enabled, the speed and duplex are not writable.
Mar  5 13:37:18 kuzma-ub pppd[3715]: PPPoL2TP options: debugmask 0
Mar  5 13:37:18 kuzma-ub pppd[3715]: Overriding mru 1500 to mtu value 1400
Mar  5 13:37:18 kuzma-ub pppd[3715]: sent [LCP ConfReq id=0x1 <mru 1400> <asyncmap 0x0> <auth chap MS-v2> <magic 0x5e107eab>]
Mar  5 13:37:18 kuzma-ub pppd[3715]: rcvd [LCP ConfReq id=0x0 <mru 1400> <auth chap MS-v2> <magic 0x132b4d4e> <pcomp> <accomp> <callback CBCP> <mrru 1614> <endpoint [local:24.c8.00.9f.dc.7f.42.35.82.26.ef.d0.a5.a6.fd.2d.00.00.00.00]>]
Mar  5 13:37:18 kuzma-ub pppd[3715]: No auth is possible
Mar  5 13:37:18 kuzma-ub pppd[3715]: sent [LCP ConfRej id=0x0 <auth chap MS-v2> <callback CBCP> <mrru 1614>]
Mar  5 13:37:18 kuzma-ub pppd[3715]: rcvd [LCP ConfAck id=0x1 <mru 1400> <asyncmap 0x0> <auth chap MS-v2> <magic 0x5e107eab>]
Mar  5 13:37:18 kuzma-ub pppd[3715]: rcvd [LCP TermReq id=0x1 13 2b 4d 4e 00 3c cd 74 00 00 03 97]
Mar  5 13:37:18 kuzma-ub pppd[3715]: sent [LCP TermAck id=0x1]
Mar  5 13:37:18 kuzma-ub xl2tpd[3714]: control_finish: Connection closed to xxx.xxx.xxx.xxx, serial 1 ()
Mar  5 13:37:18 kuzma-ub xl2tpd[3714]: Terminating pppd: sending TERM signal to pid 3715
Mar  5 13:37:18 kuzma-ub pppd[3715]: Terminating on signal 15
Mar  5 13:37:18 kuzma-ub pppd[3715]: sent [LCP TermReq id=0x2 "User request"]
Mar  5 13:37:18 kuzma-ub NetworkManager[865]: <info>  [1551782238.5367] devices added (path: /sys/devices/virtual/net/ppp0, iface: ppp0)
Mar  5 13:37:18 kuzma-ub NetworkManager[865]: <info>  [1551782238.5368] device added (path: /sys/devices/virtual/net/ppp0, iface: ppp0): no ifupdown configuration found.
Mar  5 13:37:21 kuzma-ub pppd[3715]: sent [LCP TermReq id=0x3 "User request"]
Mar  5 13:37:24 kuzma-ub pppd[3715]: Connection terminated.
Mar  5 13:37:24 kuzma-ub charon: 08[KNL] interface ppp0 deleted
Mar  5 13:37:24 kuzma-ub gnome-shell[1222]: Removing a network device that was not added
Mar  5 13:37:24 kuzma-ub gnome-shell[1597]: Removing a network device that was not added
Mar  5 13:37:24 kuzma-ub NetworkManager[865]: <info>  [1551782244.5513] devices removed (path: /sys/devices/virtual/net/ppp0, iface: ppp0)
Mar  5 13:37:24 kuzma-ub pppd[3715]: Modem hangup
Mar  5 13:37:24 kuzma-ub pppd[3715]: Exit.

На сервере разрешён только mschap-v2. Могу для сравнения кинуть лог удачного подключения с Убунты с гуями (плагин к NM).
Мож кто поможет разобраться!



Пользователь добавил сообщение 05 Марта 2019, 19:08:49:Вроде решил сам. Поделюсь, вдруг кому понадобится.
/etc/xl2tpd/options.xl2tpd

(Нажмите, чтобы показать/скрыть)

nodetach
usepeerdns
noipdefault
nodefaultroute
noauth
noccp
mru 1400
mtu 1400
lcp-echo-failure 8
lcp-echo-interval 3
refuse-chap
refuse-pap
refuse-eap
name <login>
password <pass>

Главное не писать: require-mschap-v2 С этим не поднимается.
Заставить читать логин/пароль из /etc/ppp/chap-secrets не получилось. Что файлик есть, что нет - без разницы.
В логах, кстати, несмотря на запрет chap с обеих сторон - CHAP authentication succeeded

(Нажмите, чтобы показать/скрыть)

ar  5 19:01:04 kuzma-ub pppd[4800]: rcvd [CHAP Challenge id=0x0 <122fb27836fdd3fe3f0375d33d04eb1a>, name = "comp-name"]
Mar  5 19:01:04 kuzma-ub pppd[4800]: added response cache entry 0
Mar  5 19:01:04 kuzma-ub pppd[4800]: sent [CHAP Response id=0x0 <5fe0e3e0fc4f0b301e8702345f48e89b0000000000000000c50069bc17bf56e2f3247cd4474c6feedc03334cd6f3564700>, name = "login"
]
Mar  5 19:01:04 kuzma-ub pppd[4800]: rcvd [LCP EchoRep id=0x0 magic=0xd4f0cfc]
Mar  5 19:01:04 kuzma-ub pppd[4800]: rcvd [CHAP Success id=0x0 "S=8B15136F8F02EFC23EE2E63239DFFDFED564911D"]
Mar  5 19:01:04 kuzma-ub pppd[4800]: response found in cache (entry 0)
Mar  5 19:01:04 kuzma-ub pppd[4800]: CHAP authentication succeeded

Мож оно так и должно быть, но странно.
Короче вопрос решен, однако, если у кого-нибудь есть чего сказать или почитать на тему - велкам.

[AnrDaemon]

несмотря на запрет chap с обеих сторон - CHAP authentication succeeded

MSCHAP-V2 это всё ещё CHAP.
Так что неудивительно.