今日まで、仕事用の VPN に問題なく接続していました (libreswan
と を使用NetworkManager-l2tp
)。システムをアップグレードした後、VPN 接続が機能しなくなりました。多くのトラブルシューティングを行った後、奇妙なことに気付きました。
sudo ike-scan [vpn address]
結果は次のようになります:
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
Ending ike-scan 1.9: 1 hosts scanned in 2.471 seconds (0.40 hosts/sec). 0 returned handshake; 0 returned notify
これは、ターゲットゲートウェイがないIPSec ゲートウェイ (確かにそうではありますが)。
ike-scan
何が原因でしょうか?適切に動作させるためには、外部の設定セットで何か変更する必要があるのでしょうか?他のIPSec VPNアドレスも同様に表示されますが、はL2TP/IPSec VPN。また、ほんの数週間前に、ike-scan
職場の VPN の Phase1 および Phase2 アルゴリズムが何であるかを調べました。
他にもVPNはあります。これ動作しない回答。他のいくつかの L2TP/IPSec IP も動作しません。
ここで何が起こっているのでしょうか?
答え1
テストしたい提案を指定せずにike-scanを使用すると、デフォルトで3des-sha1-modp1024出力を見ると、VPN サーバーはその提案をサポートしていないようです。
複数の提案を反復する次の ike-scan.sh スクリプトを試してください。次のように実行できますsudo ./ike-scan.sh [vpn address] | grep SA=
。sudo bash ike-scan.sh [vpn address] | grep SA=
#!/bin/sh
# Encryption algorithms: 3des=5, aes128=7/128, aes192=7/192, aes256=7/256
ENCLIST="5 7/128 7/192 7/256"
# Hash algorithms: md5=1, sha1=2, sha256=5, sha384=6, sha512=7
HASHLIST="1 2 5 6 7"
# Diffie-Hellman groups: 1, 2, 5, 14, 15, 19, 20, 21
GROUPLIST="1 2 5 14 15 19 20 21"
# Authentication method: Preshared Key=1, RSA signatures=3
AUTHLIST="1 3"
for ENC in $ENCLIST; do
for HASH in $HASHLIST; do
for GROUP in $GROUPLIST; do
for AUTH in $AUTHLIST; do
echo ike-scan --trans=$ENC,$HASH,$AUTH,$GROUP -M "$@"
ike-scan --trans=$ENC,$HASH,$AUTH,$GROUP -M "$@"
done
done
done
done
答え2
次の PPA から新しい network-manager-l2tp 1.2.16 を使用することをお勧めします。
ほとんどの L2TP/IPsec VPN サーバーとの下位互換性のため、network-manager-l2tp 1.2.16 以降では、strongSwan および libreswan のデフォルトの許可されたアルゴリズム セットは使用されなくなりました。代わりに、Windows 10 と macOS/iOS/iPadOS L2TP/IPsec クライアントの IKEv1 プロポーザルをマージしたアルゴリズムがデフォルトで使用されます。Win10 と iOS の両方に共通ではない最も弱いプロポーザルは削除されましたが、最も強いプロポーザルはすべて保持されました。
したがって、network-manager-l2tp 1.2.16 および 1.8.0 (注: 1.8.0 は、Debian から継承された OpenSSL との GPLv2 ライセンスの非互換性の問題により、Ubuntu 向けにリリースされていません) では、フェーズ 1 および 2 の提案は不要になるはずなので削除することをお勧めします。
strongswan を使用し、README.md ファイルの説明に従ってデバッグを有効にする場合:
VPN サーバーが提供するフェーズ 1 (メイン モード) とフェーズ 2 (クイック モード) の両方の提案を確認できます。