Vor heute war die Verbindung zu meinem Arbeits-VPN problemlos (mit libreswanund NetworkManager-l2tp). Nach dem Upgrade meines Systems funktionierten meine VPN-Verbindungen nicht mehr. Nach einer Menge Fehlerbehebung ist mir etwas Merkwürdiges aufgefallen:
sudo ike-scan [vpn address]ergibt:
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
Ending ike-scan 1.9: 1 hosts scanned in 2.471 seconds (0.40 hosts/sec). 0 returned handshake; 0 returned notify
Das zeigt an, dass das Ziel-Gatewayist nichtein IPSec-Gateway (obwohl es das mit Sicherheit ist).
Was könnte die Ursache dafür sein? Gibt es etwas in den Einstellungen außerhalb davon, ike-scandas geändert werden muss, damit es richtig funktioniert? Es gibt andere IPSec-VPN-Adressen, die ähnlich angezeigt werden, obwohl sieSindL2TP/IPSec-VPNs. Außerdem habe ich erst vor ein paar Wochen versucht, ike-scandie Phase1- und Phase2-Algorithmen für das VPN meiner Arbeit herauszufinden.
Es gibt auch andere VPNs, wie das inDasAntwort, die nicht funktioniert. Mehrere andere L2TP/IPSec-IPs funktionieren auch nicht.
Was könnte hier los sein?
Antwort1
Wenn Sie ike-scan verwenden, ohne den Vorschlag anzugeben, gegen den Sie testen möchten, wird standardmäßig3des-sha1-modp1024. Wenn man sich die Ausgabe ansieht, scheint Ihr VPN-Server diesen Vorschlag nicht zu unterstützen.
Probieren Sie das folgende ike-scan.sh-Skript aus, das eine Reihe von Vorschlägen durchläuft. Sie können es wie folgt ausführen sudo ./ike-scan.sh [vpn address] | grep SA=:sudo bash ike-scan.sh [vpn address] | grep SA=
#!/bin/sh
# Encryption algorithms: 3des=5, aes128=7/128, aes192=7/192, aes256=7/256
ENCLIST="5 7/128 7/192 7/256"
# Hash algorithms: md5=1, sha1=2, sha256=5, sha384=6, sha512=7
HASHLIST="1 2 5 6 7"
# Diffie-Hellman groups: 1, 2, 5, 14, 15, 19, 20, 21
GROUPLIST="1 2 5 14 15 19 20 21"
# Authentication method: Preshared Key=1, RSA signatures=3
AUTHLIST="1 3"
for ENC in $ENCLIST; do
for HASH in $HASHLIST; do
for GROUP in $GROUPLIST; do
for AUTH in $AUTHLIST; do
echo ike-scan --trans=$ENC,$HASH,$AUTH,$GROUP -M "$@"
ike-scan --trans=$ENC,$HASH,$AUTH,$GROUP -M "$@"
done
done
done
done
Antwort2
Ich würde empfehlen, den neueren network-manager-l2tp 1.2.16 aus dem folgenden PPA zu verwenden:
Aus Gründen der Abwärtskompatibilität mit den meisten L2TP/IPsec-VPN-Servern verwendet network-manager-l2tp 1.2.16 und höher nicht mehr den Standardsatz zulässiger Algorithmen von strongSwan und libreswan. Stattdessen werden als Standard Algorithmen verwendet, die eine Zusammenführung der IKEv1-Vorschläge von Windows 10- und macOS/iOS/iPadOS-L2TP/IPsec-Clients darstellen. Die schwächsten Vorschläge, die nicht sowohl für Win10 als auch für iOS üblich waren, wurden gelöscht, aber die stärksten wurden beibehalten.
Daher würde ich bei network-manager-l2tp 1.2.16 und 1.8.0 (Hinweis: 1.8.0 wurde aufgrund von Inkompatibilitätsproblemen der GPLv2-Lizenz mit dem von Debian übernommenen OpenSSL nicht für Ubuntu veröffentlicht) empfehlen, die Vorschläge der Phasen 1 und 2 zu löschen, da diese nicht mehr erforderlich sein sollten.
Wenn Sie Strongswan verwenden und das Debuggen wie in der Datei README.md beschrieben aktivieren:
Sie können sowohl die vom VPN-Server angebotenen Vorschläge für Phase 1 (Hauptmodus) als auch für Phase 2 (Schnellmodus) sehen.