Не работает MPPE-128 на L2TP Network Manager

[I.A.N.A.]

Приветствую уважаемое сообщество.

Суть  проблемы: поднят на Mikrotik L2TP сервер.

Виндовые клиенты подключаются, с шифрованием MPPE-128 Stateless, а вот клиент L2TP в Debian\UBUNTU (да и вообще в любом другом линуксе) никак не хочет. Просто без шифрования подключается.

Настраивал L2TP соединение через GUI в Network Manager. L2TP обычный, не ipSec.  При этом, PPTP соединение, настроенное там же, в Network Manager,  на этот же микротик,  отлично подключается с MPPE-128 а вот L2TP никак не удалось заставить.

Все опции шифрования в свойствах соединения в NM включены, MPPE-128, Allow Statefull Encryption. Ни в одной комбинации не подключается никак. 


Создал руками конфиг-файлы, чтобы подключаться с терминала, командой xl2tpd -D,  конект к микротику стартует с шифрованием MPPE-128. Как и положено. 

Такое ощущение что в Network Manager полностью игнорирует конфиги xl2tpd. И где то какие то свои опции передает демону pppd.

Подскажите что настроить можно в Linux чтобы заработало это l2TP шифрование? Сейчас сделал так:

/etc/xl2tpd/options.xl2tpd

Код: [Выделить]

[global]
port = 1701
access control = yes
rand source = dev
[lac lodo]
lns = 172.16.1.8
redial = yes
require authentication = no
name = nix15
refuse pap = yes
refuse chap = yes
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
autodial = yes

/etc/ppp/options.xl2tpd

Код: [Выделить]

unit 0
name nix15
password nix15
remotename l2tp
ipparam flex
mtu 1452
mru 1452
nodeflate
nobsdcomp
persist
maxfail 0
nopcomp
noaccomp
noauth
require-mppe-128

Добавил строчку require-mppe-128   и все работает. А через Network manager работает исключительно без  MPPE-128.

Гуглил пару дней, все результаты поиска загажены L2TP+Ipsec, но ипсек мне совершенно не нужен.  Можно конечно и из терминала подключаться, но раз есть GUI и Network Manager хочется выяснить почему не работает там.

[AnrDaemon]

А можно ссылку на доку, по коротой настраивали конфиг L2TP?

[ALiEN]

Network Manager полностью игнорирует конфиги xl2tpd

NetworkManager - самостоятельная утилита. Никакие конфиги, кроме своих (/etc/NetworkManager/*), она не читает.

[I.A.N.A.]

А можно ссылку на доку, по коротой настраивали конфиг L2TP?

Да просто гуглил, накопал несколько вариантов настройки конфигов, в том числе и ифициальные вики дистрибутивов.

(Нажмите, чтобы показать/скрыть)

https://habr.com/ru/sandbox/29657/

https://interset.org/page/id/linux-set

http://www.gentoo.ru/node/24104

https://wiki.debian.org/ru/xl2tpd/Client

https://www.altlinux.org/L2TP_VPN_Client_Server

NetworkManager - самостоятельная утилита. Никакие конфиги, кроме своих (/etc/NetworkManager/*), она не читает.

То есть не возможно заставить никак работать с mppe-128 средствами NM?

[ALiEN]

То есть не возможно заставить никак работать с mppe-128 средствами NM?

У меня нет сервера с L2TP - проверить не могу, но в настройках networkmanager всё есть:

И кстати, как это у вас клиенты без аутентификации?

(Нажмите, чтобы показать/скрыть)

require authentication = no
...
refuse chap = yes

Если навести мышку на MPPE, всплывает такая подсказка:

Доки по L2TP мне лень читать, могу быть неправ, но подсказка прямым текстом говорит, что MPPE работает только с MSCHAP.

+ При выборе MPPE остаются активными только MSCHAP/MSCHAPv2
++ Если снять галочки с MSCHAP/MSCHAPv2, пункт с MPPE cтановится неактивным.
+++ Wiki тоже говорит

MPPE требует использования ключей шифрования, генерируемых в процессе проверки подлинности по протоколу MS-CHAP (Microsoft Challenge Handshake Authentication Protocol), MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol версии 2) или EAP-TLS (Extensible Authentication Protocol-Transport Level Security).

[I.A.N.A.]

И кстати, как это у вас клиенты без аутентификации?

Ну этот параметр особо роли не играет. При ручном запуске xl2tpd аутентификация берется из другого файла.

+ При выборе MPPE остаются активными только MSCHAP/MSCHAPv2
++ Если снять галочки с MSCHAP/MSCHAPv2, пункт с MPPE cтановится неактивным.

Я пробовал все мыслимые комбинации. Результата нет.  Естесно используется Только MSCHAp и v2 в том числе.

[ALiEN]

Естесно используется Только MSCHAp и v2 в том числе.

на сервере?

[I.A.N.A.]

на сервере?

Само собой, и на сервере и на клиенте.


В общем, путем опытов выяснилось, что NM не передает почему то нужные параметры демону xl2tpd/kl2tpd.  Файл с параметрами он создает, по пути  /var/run/nm-l2tp-*/ppp-options  (* - uid подключения)   и там есть require-mppe-128.  Но увы, не подключается с ним. С терминала руками стартуешь - все ок. Есть MPPE.

Повторюсь, задача стоит подключить именно через NM Понятно, что можно скриптами гонять руками.  Это самый простой вариант. 

[ALiEN]

В общем, потыкал немножко. Всё завелось.


Конфиги на сервере:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

[global]
access control = yes
auth file = /etc/ppp/chap-secrets
debug avp = no
debug network = no
debug packet = no
debug state = no
debug tunnel = no

[lns acer]
require chap = yes
ppp debug = no
pppoptfile = /etc/ppp/options.l2tpd
require pap = no
assign ip = yes
hostname = acer
ip range = 10.18.0.0 - 10.18.0.15
local ip = 10.18.0.1
challenge = no
lac = 0.0.0.0-255.255.255.255

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

noauth
require-mppe-128
require-mschap-v2
noccp

На клиенте ТОЛЬКО GUI Network-manager, настройки на скриншоте.

PS На микротике отключите сжатие в настройках ppp. 

[I.A.N.A.]

PS На микротике отключите сжатие в настройках ppp. 

Это я пробовал первым делом. Не работает.

Просто интересно, какой у вас дистрибутив? Какая версия NM? 


Проблема с mppe конкретно в Debian 12 и NM скачанным с репозитория, заключается в том, что по умолчанию, в чистой системе Debian\Ubuntu  при создании в NM соединения L2TP БЕЗ IPSEC  автоматически генерится конфиг для pppd, где добавлен параметр noccp.

Если этот параметр в конфиге есть, шифрование не работает, L2TP подключается только если в микротике не требуется REQUIRED.  Если там поставить REQUIRED то не подключается никак вообще. 

Если noccp убрать из конфига - все подключается с mppe-128. И в тике в профиле можно как YES так и REQUIRE использовать.

 Потому то у меня и подключалось руками из терминала, что в руками созданном конфиге не было опции noccp  а раз ее нет то считается, что CCP включен естественно. А раз включен - то и mppe заводится без проблем.

Проблема решилась пересборкой из исходников либы nm-l2tp-service.  В новом фиксе оговорено, что при включенном mppe в опциях NM конекта, не добавлять в динамически генерируемый конфиг опцию noccp.


Кому интересно - https://github.com/nm-l2tp/NetworkManager-l2tp/issues/217

[ALiEN]

Просто интересно, какой у вас дистрибутив? Какая версия NM?

Сервер Archlinux
Клиент Ubuntu 23.04 Live

Вот тут еще посмотрите README.MPPE

Эта фраза смущает, получается, для mppe ccp должен быть выключен (noccp), но, повторю, в документацию я особо не вникал.

if you turn it on, all other compression options are disabled and MPPE *must* be negotiated successfully in both directions (CCP is unidirectional) or the link will be disconnected.
---
если вы включите его, все остальные параметры сжатия будут отключены, и MPPE *должен* успешно согласовываться в обоих направлениях (CCP является однонаправленным), иначе соединение будет отключено.

[AnrDaemon]

CCP это протокол согласования настроек, на сколько я понимаю.
Ref: https://www.rfc-editor.org/rfc/rfc1962.html

Параграф просто выделяет очевидный момент, что
1. MPPE (в терминах PPP) считается протоколом сжатия;
2. согласовать одностороннее MPPE не удастся (ибо бессмысленно).

Либо обе стороны соглашаются на MPPE, либо оба идут на[далеко]…
noccp отключает саму созможность согласовать какое-либо сжатие, поэтому и не работает согласование MPPE.