L2TP клиент на Ubuntu 24.04

[RomanK]

Приветствую всех. Я новенький пользователь Linux.

Бьюсь уже третий день, не понимаю в чем дело.

Создал на роутере Keenetic Giga (24-ого года который) VPN сервер L2TP/IPSec. Также поднят еще IKEv2 VPN сервер. Из Windows подключаюсь к L2TP замечательно. Все работает. С мобилы подключаюсь к IKEv2. Все также работает.

Из Ubuntu не понимаю, подключается (но ничего не работает, не видит сеть), через секунд 10 - отключается и все.

Все ключи PSK и EAP абсолютно верные. Делаю все по инструкциям в интернете и Ютубе. Но происходит эта хрень.

Лог прикрепляю.

(Нажмите, чтобы показать/скрыть)

Nov  8 20:24:39 ipsec: 07[IKE] received XAuth vendor ID
Nov  8 20:24:39 ipsec: 07[IKE] received DPD vendor ID
Nov  8 20:24:39 ipsec: 07[IKE] received FRAGMENTATION vendor ID
Nov  8 20:24:39 ipsec: 07[IKE] received NAT-T (RFC 3947) vendor ID
Nov  8 20:24:39 ipsec: 07[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Nov  8 20:24:39 ipsec: 07[IKE] 102.119.43.211 is initiating a Main Mode IKE_SA
Nov  8 20:24:39 ipsec: 07[CFG] received proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:ECP_256
Nov  8 20:24:39 ipsec: 07[CFG] configured proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_768, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_384, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/ECP_256, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:DES_CBC/HMAC_SHA1_96/PRF [...]
Nov  8 20:24:39 ipsec: 07[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
Nov  8 20:24:39 ipsec: 07[IKE] sending XAuth vendor ID
Nov  8 20:24:39 ipsec: 07[IKE] sending DPD vendor ID
Nov  8 20:24:39 ipsec: 07[IKE] sending FRAGMENTATION vendor ID
Nov  8 20:24:39 ipsec: 07[IKE] sending NAT-T (RFC 3947) vendor ID
Nov  8 20:24:39 ipsec: 10[IKE] remote host is behind NAT
Nov  8 20:24:39 ipsec: 10[IKE] linked key for crypto map '(unnamed)' is not found, still searching
Nov  8 20:24:39 ipsec: 06[CFG] looking for pre-shared key peer configs matching 82.123.43.22...102.119.43.211[192.168.100.67]
Nov  8 20:24:39 ipsec: 06[CFG] selected peer config "VPNL2TPServer"
Nov  8 20:24:39 ipsec: 06[IKE] IKE_SA VPNL2TPServer[254] established between 82.123.43.22[82.123.43.22]...102.119.43.211[192.168.100.67]
Nov  8 20:24:40 ipsec: 04[CFG] received proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_GCM_16=128/NO_EXT_SEQ
Nov  8 20:24:40 ipsec: 04[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_256_128/NO_EXT_SEQ
Nov  8 20:24:40 ipsec: 04[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ
Nov  8 20:24:40 ipsec: 04[IKE] received 3600s lifetime, configured 0s
Nov  8 20:24:40 ipsec: 08[IKE] CHILD_SA VPNL2TPServer{75} established with SPIs c6a728f0_i ceecd830_o and TS 82.123.43.22/32[udp/l2tp] === 102.119.43.211/32[udp/l2tp]
[W] Nov  8 20:24:40 ndm: IpSec::CryptoMapInfo: "VPNL2TPServer": IPsec connection to L2TP/IPsec server from "102.119.43.211" is established.
Nov  8 20:24:40 ndm: IpSec::Netfilter: start reloading netfilter configuration...
Nov  8 20:24:40 ndm: IpSec::Netfilter: netfilter configuration reloading is done.
Nov  8 20:24:56 ipsec: 12[IKE] received DELETE for ESP CHILD_SA with SPI ceecd830
Nov  8 20:24:56 ipsec: 12[IKE] closing CHILD_SA VPNL2TPServer{75} with SPIs c6a728f0_i (219 bytes) ceecd830_o (0 bytes) and TS 82.123.43.22/32[udp/l2tp] === 102.119.43.211/32[udp/l2tp]
Nov  8 20:24:56 ipsec: 07[IKE] received DELETE for IKE_SA VPNL2TPServer[254]
Nov  8 20:24:56 ipsec: 07[IKE] deleting IKE_SA VPNL2TPServer[254] between 82.123.43.22[82.123.43.22]...102.119.43.211[192.168.100.67]
Nov  8 20:24:56 ndm: IpSec::Netfilter: start reloading netfilter configuration...
Nov  8 20:24:56 ndm: IpSec::Netfilter: netfilter configuration reloading is done.

Подобные выводы стоит выкладывать под спойлер, поправил.
Usermaster

[bezbo]

remote host is behind NAT

настройте роутер чтобы пропускал vpn трафик

[Usermaster]

В mint l2tp/ipsec работает без проблем, в Ubuntu тоже должно работать, сейчас под рукой нет проверить не могу, только в понедельник.
Отключи фаервол в linux.

Прафик у него проходит, раз с других ОС работает.

[Usermaster]

Keenetic хорошо документирован, вот ссылка на всякий случай.

[RomanK]

настройте роутер чтобы пропускал vpn трафик

С других ОС ведь пропускает. Тут чувствую чето с шифрованием каким-то может связано... но я новичек в Linux. Не могу найти где что поправить. С винды работает банально установив IP, Пароль IpSec, и логин пароль юзера. С мобилы также все просто. С линюкса вроде по логам видно что соединение устанавливается, но через 10-20 секунд отрубается по какой-то причине.

Keenetic хорошо документирован, вот ссылка на всякий случай.

Кинетика мануалы тоже изучил, но мой случай это клиент-сервер на сколько я полагать могу?! Короче мне нужно просто удаленно с моего ноутбука подключаться к моей домашней локальной сети используя поднятый VPN сервер на кинетике.

Вот это у меня сделано на Кинетике: https://help.keenetic.com/hc/ru/articles/360000684919-VPN-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80-L2TP-IPsec

А также вот это: https://help.keenetic.com/hc/ru-ru/articles/360017022999-IKEv2-IPsec-VPN-server

Первый случай использую для Винды. Второй для мобилы. Просто для мобилы лень стороннее ПО использовать для L2TP.

Фаервол в Ubuntu отключен.

[bezbo]

С других ОС ведь пропускает.

схема подключения клиентов l2tp/ipsec? они все за одним роутером?

[Usermaster]

Первый случай использую для Винды. Второй для мобилы. Просто для мобилы лень стороннее ПО использовать для L2TP.

Так же всё делаю, планшет через IKEv2 (потому что выпили pptp в 12 android), телефон по pptp, рабочий комп l2tpp/ipsec.
Никаких проблем. Правда провайдеры pptp рубили, из-за этого и дом с квартирой и рабочий комп перевёл на l2tp/ipsec. Сейчас вроде не блочат.
Если правильно настроено подключение, проблем в Linux не должно быть.
Проверь правильно ли тип шифрования выставлен.
Windows использует128 (клажется) шифрование, keenetic 64, и при включенном шифровании у неё должны быть проблемы, надо колдовать. Linux любые типы умеет.

[RomanK]

Проверь правильно ли тип шифрования выставлен.

А как проверить в линюксе научи пожалуйста. И какой должен быть тип? В инструкции к кинетику про это ничего не сказано. Тупо пароли проставил и нажал включить сервер. В винде тоже об этом не задумывался, просто подключился и все заработало. А в линюксе не хочет.
Пользователь добавил сообщение 10 Ноября 2024, 19:11:18:

схема подключения клиентов l2tp/ipsec? они все за одним роутером?

Не совсем понял вопроса. Объясню как понял.

У меня дома стоит роутер, и дома локальная сетка есть из двух компов и NAS сервера.
Я поднял на роутере по ссылкам, что привел выше - два VPN сервера. Один L2TP/IpSec. К нему подключаюсь удаленно с ноутбука из Windows без проблем. Другой IKEv2. К нему подключаюсь через андроид мобилу, также без проблем удаленно. Локальная сетка видна. Могу зайти на NAS сервер как будто я нахожусь дома в домашней сети.

На моем ноутбуке кроме винды еще стоит рядом Ubuntu 24.04. Вот в ней я не могу настроить клиента. То что настроил - подключается, но отключается через 10-20 секунд. Лог в первом своем сообщении с Keenetica показал. Там видно подключение и отключение.
Пользователь добавил сообщение 10 Ноября 2024, 21:11:25:Добавлю еще вот что.

Поднял сервер L2TP/IpSec на NAS Synology. Ubuntu успешно подключился с такими же настройками, с которыми пытаюсь подключится, через сервер кинетика (к которому с винды успешно подключаюсь).

В общем не понимаю что надо добавить, чтобы ubuntu c кинетиком сошлись. На NAS Synology все точно также создается как и на кинетике практически. Никаких шифрований и прочего явно не вывставляю. Все как то само делается. Указал только PSK ключ, логин, пароль и собственно IP адрес. И все работает.

[Usermaster]

Чёт я с шифрованием поторопился, его там у L2tp/ipsec нет, в том виде как у pptp.
Вот мои настройки на L2tp/ipsec на Linux, я так подключаюсь, проблем нет.
Может тебе это поможет.

[Usermaster]

В общем попробовал в Ubuntu 24.04 на одном и том же ПК на Linux mint всё подключается, на виртуалке с Ubuntu нефига не подключается, пишет "не удалось активировать подключение".
Чего с этим делать, пока не знаю.

Проблема в Ubuntu 24.04 явно присутствует.

На этом же ПК на другой виртуалке с Ubuntu 22.04 подключение настроил без проблем.
Осталось протестить Linux mint 22.
Сейчас третью виртуалку запущу, проверю.
Скриншоты я выкладывал с Linux mint 21.3 основанной на Ubuntu 22.04.


Linux mint тоже не подключается, Network Manager явно той же версии что и в Ubuntu, настройки перенесли в /etc/netplan

[andytux]

Мне кажется, вы запутали сами себя, с netplan особенно.
Содержимое /etc/netplan ubuntu 22.04:

Код: [Выделить]

~$ cat /cdrom/opt/ub22/casper/ub22.dir/etc/netplan/*.yaml
# Let NetworkManager manage all devices on this system
network:
  version: 2
  renderer: NetworkManagerКомментарий пряио говорит, всем управляет NetworkManager
Содержимое /etc/netplan ubuntu 24.04:

Код: [Выделить]

~$ cat /etc/netplan/*.yaml
network:
  version: 2
  renderer: NetworkManagerОтличие: нет комментария.
Это нужно хорошо поиздеваться над системой, чтобы отнять управление у NetworkManager.

Ubuntu 22.04 подключение настроил без проблем.

Все подключения в /etc/NetworkManager/system-connections, просто скопировать соответствующий файл.

[Usermaster]

Все подключения в /etc/NetworkManager/system-connections

В 24.04 соединения уже не здесь создаются а в:

Код: [Выделить]

/etc/netplan/Да и дело не в этом, дело в том что L2tp/ipsec в ней не подключается, ощущение что служба падает при подключении.

[andytux]

А действительно, в /etc/netplan создалось "ужасно нетплановое". А в /run/NetworkManager/system-connections вполне в духе "НетворкМенеджера". А я по старинке, со времён 10.04, копирую соединения в /etc/NetworkManager/system-connections. И они работают во всех версиях.
Но про L2tp ничего не скажу.

[RomanK]

Хм... если у вас тоже L2TP к кинетику не работает, то как объясните вот это что я написал выше?

Добавлю еще вот что.

Поднял сервер L2TP/IpSec на NAS Synology. Ubuntu успешно подключился с такими же настройками, с которыми пытаюсь подключится, через сервер кинетика (к которому с винды успешно подключаюсь).

Получается к кинетику почему то не подключается, а если тот же L2TP/IPSec создать на моем Synology, то работает.

То есть собака порылась именно между ubuntu и keenetic...

[Usermaster]

То есть собака порылась именно между ubuntu и keenetic...

Получается так.
Я все свои пробы выше описал.
Я к Keenetic подключился и с Mint 21.3 и с Ubuntu 22.04.
Mint 22 и Ubuntu 24.04 ни в какую подключаться не хотят.
Может обновлениями поправят.