O que poderia fazer o ike-scan ver um IP que é uma VPN L2TP/IPSEC aparecer como uma VPN não IPSEC?

tag-icon tag-icon networking network-manager vpn openvpn ipsec
O que poderia fazer o ike-scan ver um IP que é uma VPN L2TP/IPSEC aparecer como uma VPN não IPSEC?

Antes de hoje, eu me conectei perfeitamente à minha VPN de trabalho (usando libreswane NetworkManager-l2tp). Após atualizar meu sistema, minhas conexões VPN pararam de funcionar. Depois de muita solução de problemas, percebi algo estranho:

sudo ike-scan [vpn address]resulta em:

Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)

Ending ike-scan 1.9: 1 hosts scanned in 2.471 seconds (0.40 hosts/sec).  0 returned handshake; 0 returned notify

O que indica que o caminho do portão alvonão éum gateway IPSec (embora certamente seja).

O que poderia causar isso? Existe algo em um conjunto de configurações fora dele ike-scanque precisa ser alterado para que funcione adequadamente? Existem outros endereços VPN IPSec que aparecem de forma semelhante, emborasãoVPNs L2TP/IPSec. Além disso, há apenas algumas semanas eu descobri ike-scanquais eram os algoritmos Fase1 e Fase2 para a VPN do meu trabalho.

Existem outras VPNs também, como a doesseresponda que não funciona. Vários outros IPs L2TP/IPSec também não funcionam.

O que poderia estar acontecendo aqui?

Responder1

Se você usar o ike-scan sem especificar a proposta que deseja testar, o padrão será3des-sha1-modp1024. Olhando para o resultado, seu servidor VPN não parece suportar essa proposta.

Experimente o seguinte script ike-scan.sh, que percorre diversas propostas. Você pode executá-lo como sudo ./ike-scan.sh [vpn address] | grep SA=ousudo bash ike-scan.sh [vpn address] | grep SA=

#!/bin/sh

# Encryption algorithms: 3des=5, aes128=7/128, aes192=7/192, aes256=7/256
ENCLIST="5 7/128 7/192 7/256"
# Hash algorithms: md5=1, sha1=2, sha256=5, sha384=6, sha512=7
HASHLIST="1 2 5 6 7"
# Diffie-Hellman groups: 1, 2, 5, 14, 15, 19, 20, 21
GROUPLIST="1 2 5 14 15 19 20 21"
# Authentication method: Preshared Key=1, RSA signatures=3
AUTHLIST="1 3"

for ENC in $ENCLIST; do
   for HASH in $HASHLIST; do
       for GROUP in $GROUPLIST; do
          for AUTH in $AUTHLIST; do
             echo ike-scan --trans=$ENC,$HASH,$AUTH,$GROUP -M "$@"
             ike-scan --trans=$ENC,$HASH,$AUTH,$GROUP -M "$@"
          done
      done
   done
done

Responder2

Recomendamos usar o network-manager-l2tp 1.2.16 mais recente do seguinte PPA:

Para compatibilidade retroativa com a maioria dos servidores VPN L2TP/IPsec disponíveis no mercado, o network-manager-l2tp 1.2.16 e posterior não usa mais o conjunto padrão de algoritmos permitidos strongSwan e libreswan, em vez disso, algoritmos que são uma fusão do Windows 10 e macOS/iOS/ As propostas IKEv1 dos clientes iPadOS L2TP/IPsec são usadas como padrão. As propostas mais fracas que não eram comuns tanto ao Win10 quanto ao iOS foram descartadas, mas todas as mais fortes foram mantidas.

Portanto, com network-manager-l2tp 1.2.16 e 1.8.0 (nota: 1.8.0 não foi lançado para Ubuntu devido a problemas de incompatibilidade de licenciamento GPLv2 com OpenSSL herdado do Debian), eu recomendaria excluir as propostas das fases 1 e 2 já que não deveriam mais ser necessários.

Se você usar o Strongswan e ativar a depuração conforme descrito no arquivo README.md:

Você pode ver as propostas da Fase 1 (Modo Principal) e da Fase 2 (Modo Rápido) oferecidas pelo servidor VPN.

informação relacionada