До сегодняшнего дня я нормально подключался к своему рабочему VPN (используя libreswanи NetworkManager-l2tp). После обновления моей системы мои VPN-подключения перестали работать. После долгого устранения неполадок я заметил нечто странное:
sudo ike-scan [vpn address]результаты в:
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
Ending ike-scan 1.9: 1 hosts scanned in 2.471 seconds (0.40 hosts/sec). 0 returned handshake; 0 returned notify
Что указывает на то, что путь ворот целине являетсяшлюз IPSec (хотя это, безусловно, так).
Что может быть причиной этого? Есть ли что-то в наборе настроек, что ike-scanнужно изменить, чтобы это работало должным образом? Есть и другие адреса IPSec VPN, которые отображаются аналогичным образом, хотя ониявляютсяL2TP/IPSec VPN. Кроме того, всего пару недель назад я пытался ike-scanразобраться, какие алгоритмы Phase1 и Phase2 используются для VPN на моей работе.
Есть и другие VPN, например, тот, что вэтотответ, который не работает. Несколько других IP L2TP/IPSec также не работают.
Что здесь может происходить?
решение1
Если вы используете ike-scan, не указав предложение, которое вы хотите протестировать, по умолчанию будет выбрано3des-sha1-modp1024. Судя по выводу, ваш VPN-сервер, похоже, не поддерживает это предложение.
Попробуйте следующий скрипт ike-scan.sh, который перебирает несколько предложений. Вы можете запустить его как sudo ./ike-scan.sh [vpn address] | grep SA=илиsudo bash ike-scan.sh [vpn address] | grep SA=
#!/bin/sh
# Encryption algorithms: 3des=5, aes128=7/128, aes192=7/192, aes256=7/256
ENCLIST="5 7/128 7/192 7/256"
# Hash algorithms: md5=1, sha1=2, sha256=5, sha384=6, sha512=7
HASHLIST="1 2 5 6 7"
# Diffie-Hellman groups: 1, 2, 5, 14, 15, 19, 20, 21
GROUPLIST="1 2 5 14 15 19 20 21"
# Authentication method: Preshared Key=1, RSA signatures=3
AUTHLIST="1 3"
for ENC in $ENCLIST; do
for HASH in $HASHLIST; do
for GROUP in $GROUPLIST; do
for AUTH in $AUTHLIST; do
echo ike-scan --trans=$ENC,$HASH,$AUTH,$GROUP -M "$@"
ike-scan --trans=$ENC,$HASH,$AUTH,$GROUP -M "$@"
done
done
done
done
решение2
Я бы рекомендовал использовать более новую версию network-manager-l2tp 1.2.16 из следующего PPA:
Для обратной совместимости с большинством VPN-серверов L2TP/IPsec, network-manager-l2tp 1.2.16 и более поздние версии больше не используют набор разрешенных алгоритмов strongSwan и libreswan по умолчанию, вместо этого по умолчанию используются алгоритмы, которые являются слиянием предложений IKEv1 клиентов Windows 10 и macOS/iOS/iPadOS L2TP/IPsec. Самые слабые предложения, которые не были общими для Win10 и iOS, были удалены, но все самые сильные были сохранены.
Поэтому в случае с network-manager-l2tp 1.2.16 и 1.8.0 (примечание: версия 1.8.0 не была выпущена для Ubuntu из-за проблем несовместимости лицензирования GPLv2 с OpenSSL, унаследованного от Debian), я бы рекомендовал удалить предложения фазы 1 и 2, поскольку они больше не нужны.
Если вы используете strongswan и включаете отладку, как описано в файле README.md:
Вы можете увидеть предложения как фазы 1 (основной режим), так и фазы 2 (быстрый режим), предлагаемые VPN-сервером.