Antes de hoy, me conecté bien a la VPN de mi trabajo (usando libreswany NetworkManager-l2tp). Después de actualizar mi sistema, mis conexiones VPN dejaron de funcionar. Después de mucho solucionar problemas, noté algo extraño:
sudo ike-scan [vpn address]da como resultado:
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
Ending ike-scan 1.9: 1 hosts scanned in 2.471 seconds (0.40 hosts/sec). 0 returned handshake; 0 returned notify
Lo que indica que la puerta de destinono esuna puerta de enlace IPSec (aunque ciertamente lo es).
Que podria causar esto? ¿Hay algo en un conjunto de configuraciones fuera de ike-scaneso que deba modificarse para que funcione correctamente? Hay otras direcciones VPN IPSec que aparecen de manera similar, aunquesonVPN L2TP/IPSec. Además, hace sólo un par de semanas solía ike-scandescubrir cuáles eran los algoritmos Phase1 y Phase2 para la VPN de mi trabajo.
También hay otras VPN, como la deesterespuesta que no funciona. Varias otras IP L2TP/IPSec tampoco funcionan.
¿Qué podría estar pasando aquí?
Respuesta1
Si utiliza ike-scan sin especificar la propuesta con la que desea realizar la prueba, por defecto será3des-sha1-modp1024. Al observar el resultado, su servidor VPN no parece compatible con esa propuesta.
Pruebe el siguiente script ike-scan.sh que itera a través de varias propuestas. Puedes ejecutarlo como sudo ./ike-scan.sh [vpn address] | grep SA=osudo bash ike-scan.sh [vpn address] | grep SA=
#!/bin/sh
# Encryption algorithms: 3des=5, aes128=7/128, aes192=7/192, aes256=7/256
ENCLIST="5 7/128 7/192 7/256"
# Hash algorithms: md5=1, sha1=2, sha256=5, sha384=6, sha512=7
HASHLIST="1 2 5 6 7"
# Diffie-Hellman groups: 1, 2, 5, 14, 15, 19, 20, 21
GROUPLIST="1 2 5 14 15 19 20 21"
# Authentication method: Preshared Key=1, RSA signatures=3
AUTHLIST="1 3"
for ENC in $ENCLIST; do
for HASH in $HASHLIST; do
for GROUP in $GROUPLIST; do
for AUTH in $AUTHLIST; do
echo ike-scan --trans=$ENC,$HASH,$AUTH,$GROUP -M "$@"
ike-scan --trans=$ENC,$HASH,$AUTH,$GROUP -M "$@"
done
done
done
done
Respuesta2
Recomendaría utilizar el network-manager-l2tp 1.2.16 más nuevo del siguiente PPA:
Para compatibilidad con versiones anteriores de la mayoría de los servidores VPN L2TP/IPsec que existen, network-manager-l2tp 1.2.16 y posteriores ya no utiliza el conjunto predeterminado de algoritmos permitidos strongSwan y libreswan, sino algoritmos que son una combinación de Windows 10 y macOS/iOS/ Las propuestas IKEv1 de los clientes iPadOS L2TP/IPsec se utilizan de forma predeterminada. Se descartaron las propuestas más débiles que no eran comunes tanto para Win10 como para iOS, pero se mantuvieron todas las más fuertes.
Entonces, con network-manager-l2tp 1.2.16 y 1.8.0 (nota: 1.8.0 no se lanzó para Ubuntu debido a problemas de incompatibilidad de licencia GPLv2 con OpenSSL heredado de Debian), recomendaría eliminar las propuestas de las fases 1 y 2. ya que ya no deberían ser necesarios.
Si utiliza strongswan y habilita la depuración como se describe en el archivo README.md:
Podrás ver tanto las propuestas de la Fase 1 (Modo Principal) como de la Fase 2 (Modo Rápido) que ofrece el servidor VPN.