오늘 이전에는 회사 VPN에 연결했습니다( libreswan
및 사용 NetworkManager-l2tp
). 시스템을 업그레이드한 후 VPN 연결이 작동을 멈췄습니다. 많은 문제 해결 후에 이상한 점을 발견했습니다.
sudo ike-scan [vpn address]
결과는 다음과 같습니다.
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
Ending ike-scan 1.9: 1 hosts scanned in 2.471 seconds (0.40 hosts/sec). 0 returned handshake; 0 returned notify
이는 대상 게이트 방식을 나타냅니다.그렇지 않다IPSec 게이트웨이(가장 확실하더라도).
이 문제의 원인은 무엇입니까? ike-scan
적절하게 작동하려면 외부 설정 세트에 변경해야 할 사항이 있습니까 ? 유사하게 나타나는 다른 IPSec VPN 주소도 있습니다.~이다L2TP/IPSec VPN. 또한 불과 몇 주 전에 저는 ike-scan
제 작업의 VPN에 대한 Phase1 및 Phase2 알고리즘이 무엇인지 알아내곤 했습니다.
다음과 같은 다른 VPN도 있습니다.이것안 된다고 대답하세요. 다른 여러 L2TP/IPSec IP도 작동하지 않습니다.
여기서 무슨 일이 일어날 수 있습니까?
답변1
테스트하려는 제안을 지정하지 않고 ike-scan을 사용하면 기본값은 다음과 같습니다.3des-sha1-modp1024. 출력을 보면 VPN 서버가 해당 제안을 지원하지 않는 것 같습니다.
여러 제안을 반복하는 다음 ike-scan.sh 스크립트를 사용해 보세요. 다음 sudo ./ike-scan.sh [vpn address] | grep SA=
과 같이 실행할 수 있습니다 .sudo bash ike-scan.sh [vpn address] | grep SA=
#!/bin/sh
# Encryption algorithms: 3des=5, aes128=7/128, aes192=7/192, aes256=7/256
ENCLIST="5 7/128 7/192 7/256"
# Hash algorithms: md5=1, sha1=2, sha256=5, sha384=6, sha512=7
HASHLIST="1 2 5 6 7"
# Diffie-Hellman groups: 1, 2, 5, 14, 15, 19, 20, 21
GROUPLIST="1 2 5 14 15 19 20 21"
# Authentication method: Preshared Key=1, RSA signatures=3
AUTHLIST="1 3"
for ENC in $ENCLIST; do
for HASH in $HASHLIST; do
for GROUP in $GROUPLIST; do
for AUTH in $AUTHLIST; do
echo ike-scan --trans=$ENC,$HASH,$AUTH,$GROUP -M "$@"
ike-scan --trans=$ENC,$HASH,$AUTH,$GROUP -M "$@"
done
done
done
done
답변2
다음 PPA에서 최신 network-manager-l2tp 1.2.16을 사용하는 것이 좋습니다.
대부분의 L2TP/IPsec VPN 서버와의 역호환성을 위해 network-manager-l2tp 1.2.16 이상에서는 더 이상 StrongSwan 및 libreswan 기본 허용 알고리즘 세트를 사용하지 않고 대신 Windows 10 및 macOS/iOS/를 병합한 알고리즘을 사용합니다. iPadOS L2TP/IPsec 클라이언트의 IKEv1 제안이 기본값으로 대신 사용됩니다. Win10과 iOS 모두에 공통적이지 않은 가장 약한 제안은 삭제되었지만 가장 강력한 제안은 모두 유지되었습니다.
따라서 network-manager-l2tp 1.2.16 및 1.8.0(참고: 1.8.0은 Debian에서 상속된 OpenSSL과의 GPLv2 라이선스 비호환 문제로 인해 Ubuntu용으로 출시되지 않음)의 경우 1단계 및 2단계 제안을 삭제하는 것이 좋습니다. 더 이상 필요하지 않기 때문입니다.
Strongswan을 사용하고 README.md 파일에 설명된 대로 디버깅을 활성화하는 경우:
VPN 서버에서 제공하는 1단계(기본 모드)와 2단계(빠른 모드) 제안을 모두 볼 수 있습니다.