Клієнт VPN L2TP / IPSec на службі Ubuntu 16.04 не вдалося запустити

12

У Ubuntu 16.04 я вже пройшов кілька навчальних посібників, щоб відновити мережевий менеджер, також встановлений через apt-get install network-manager-l2tp network-manager-l2tp-gnome.

Він працював до вчора, коли випадкове повідомлення говорило The VPN connection failed because the VPN service failed to start. Немає помилок у конфігурації, оскільки ті самі облікові дані VPN та хост використовуються в іншому Ubuntu, також 16.04 та Windows 8.1.

Дивлячись на /var/log/syslog:

NetworkManager[899]: <info>  [1496143714.1953] audit: op="connection-activate" uuid="cac1651d-9cbd-4989-bc57-b9707ddd012a" name="VPNCS" pid=2295 uid=1000 result="success"
NetworkManager[899]: <info>  [1496143714.1973] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: Started the VPN service, PID 5798
NetworkManager[899]: <info>  [1496143714.2013] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: Saw the service appear; activating connection
NetworkManager[899]: <info>  [1496143714.2760] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: VPN connection: (ConnectInteractive) reply received
NetworkManager[899]: nm-l2tp[5798] <info>  ipsec enable flag: yes
NetworkManager[899]: ** Message: Check port 1701
NetworkManager[899]: nm-l2tp[5798] <info>  starting ipsec
NetworkManager[899]: Stopping strongSwan IPsec...
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22167, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22168, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22169, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22170, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22171, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22172, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22173, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22174, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22175, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22176, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22177, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22178, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22179, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22180, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22181, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22182, major_opcode = 33, minor_opcode = 0
NetworkManager[899]: Starting strongSwan 5.5.2 IPsec [starter]...
NetworkManager[899]: Loading config setup
NetworkManager[899]: Loading conn 'cac1651d-9cbd-4989-bc57-b9707ddd012a'
NetworkManager[899]: found netkey IPsec stack
charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.5.2, Linux 4.4.0-78-generic, x86_64)
NetworkManager[899]: nm-l2tp[5798] <warn>  IPsec service is not ready.
NetworkManager[899]: nm-l2tp[5798] <warn>  Could not establish IPsec tunnel.
NetworkManager[899]: (nm-l2tp-service:5798): GLib-GIO-CRITICAL **: g_dbus_method_invocation_take_error: assertion 'error != NULL' failed
NetworkManager[899]: <info>  [1496143732.4905] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: VPN plugin: state changed: stopped (6)
NetworkManager[899]: <info>  [1496143732.4929] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: VPN plugin: state change reason: unknown (0)
NetworkManager[899]: <info>  [1496143732.4952] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: VPN service disappeared
NetworkManager[899]: <warn>  [1496143732.4971] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: VPN connection: failed to connect: 'Message recipient disconnected from message bus without replying'

Я вже намагався видалити network-manager-l2tpі -gnomeпакунки та перевстановити їх, але у мене все одно є така ж помилка.

Будь-яке виправлення?

16.04  networking  network-manager  vpn  ipsec 
Фабіано
джерело

Відповіді:

14

Я знайшов рішення у сховищі розробника.

https://github.com/nm-l2tp/network-manager-l2tp/isissue/38#issuecomment-303052751

Версія 1.2.6 більше не відміняє шифри IPsec за замовчуванням, і я підозрюю, що ваш VPN-сервер використовує застарілий шифр. Нові версії strongSwan вважають порушеними.

Див. Розділ, визначений користувачем шифр IPsec у файлі README.md, як додати шифри за замовчуванням strongSwan власними:

https://github.com/nm-l2tp/network-manager-l2tp#user-specified-ipsec-ikev1-cipher-suites

Я рекомендую встановити пакет ike-scan, щоб перевірити, які шифри рекламує ваш VPN-сервер, наприклад:

$ sudo systemctl stop strongswan  
$ sudo ike-scan 123.54.76.9  
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
123.54.76.9   Main Mode Handshake returned HDR=(CKY-R=5735eb949670e5dd) SA=(Enc=3DES Hash=SHA1 Auth=PSK Group=2:modp1024 LifeType=Seconds LifeDuration(4)=0x00007080)
Ending ike-scan 1.9: 1 hosts scanned in 0.263 seconds (3.80 hosts/sec).  1 returned handshake; 0 returned notify

Тож у цьому прикладі, коли рекламується зламаний шифр 3DES, у розширений розділ діалогового вікна IPsec для версії 1.2.6 додайте наступне:

  • Алгоритми Phase1: 3des-sha1-modp1024

  • Фаза2 Алгоритми: 3des-sha1

Після всіх етапів спробу підключення до L2TP, його потрібно встановити.

PRIHLOP
джерело
Рятувальник життя! Я хотів би додати, що якщо ви запускаєте, sudo ike-scan <address>і він повертає щось про прив'язку та порт, які вже використовуються, можливо, цього systemctl stop strongswanбуло недостатньо та charonпрацює. Можна підтвердити, що запуск sudo netstat -nplта перевірка верхнього блоку, де показані процеси та порти, що використовуються. Я міг повністю припинити біг харона sudo service strongswan stop, не впевнений, чому інша поведінка, ніж systemctlвсе-таки.
Фабіано
3
-sПеремикач ike-scanса заощадити деякий PID полювання;). Це навіть може врятувати вас sudo: ike-scan -s 60066 <IP>
brisssou
Я думаю, що тому, що Strongswan - це «застаріла» послуга, сценарії systemctl передають шар сумісності, який може не правильно обробляти всі залежності. Я помітив подібну проблему, коли зупинка systemctl недостатня для включення сканування ike.
dragon788
Щойно я зіткнувся з іншою проблемою з процесом використання порту 500. Це також робить моє з'єднання для повернення таймауту. У цьому випадку я знайшов це, намагаючись запустити, ike-scanі він сказав, що порт 500 вже використовується. використовуючи netstat -nplпоказане, що docker-proxyвикористовує його. Оскільки я не залежу від докера, я зупинив його sudo service docker stopі міг успішно підключитися до VPN L2TP.
Фабіано
2

Ця відповідь специфічна для підключення до облікового запису Cisco Meraki на VPN L2TP / IP. Рішення працює на моїй системі Ubuntu 16.04. Усі вказівки безпосередньо скопійовані з відповіді Пігмана на цій темі форуму Меракі . Капелюхи до нього, він врятував мені години розчарування.

  1. Встановіть network-manager-l2tp: sudo add-apt-repository ppa:nm-l2tp/network-manager-l2tpі `sudo apt-get update sudo apt-get install network-manager-l2tp
  2. Якщо ви використовуєте gnome, встановіть плагін gnome (якщо використовується інше середовище робочого столу, подивіться, чи є плагін для його мережевого менеджера): sudo apt-get install network-manager-l2tp-gnome
  3. Перезавантажте
  4. Перейдіть до Налаштування> Мережа> Клацніть кнопку +> Виберіть "Протокол тунелювання рівня 2 (L2TP)"
  5. Назвіть нове VPN-з'єднання щось
  6. Введіть ім'я або адресу хоста в поле Шлюз.
  7. Введіть ім’я користувача у поле Ім'я користувача.
  8. Клацніть піктограму в полі Пароль і виберіть свої переваги щодо того, як ввести пароль.
  9. Клацніть Налаштування IPSec ...
  10. Установіть прапорець "Увімкнути тунель IPsec для хоста L2TP"
  11. Введіть загальну таємницю у поле Попередній ключ.
  12. Залиште поле ідентифікатора шлюзу порожнім.
  13. Розгорніть область Додаткові параметри
  14. Введіть "3des-sha1-modp1024" у поле Алгоритми фази 1.
  15. Введіть "3des-sha1" у поле Алгоритми Фази 2.
  16. Залиште прапорець "Закріпити інкапсуляцію UDP".
  17. Натисніть кнопку ОК.
  18. Клацніть Зберегти.
  19. Відкрийте термінал і введіть наступні команди, щоб остаточно відключити xl2tpdservice: sudo service xl2tpd stop
  20. Також введіть наступне: sudo systemctl disable xl2tpd
  21. Відкрийте Налаштування мережі та спробуйте увімкнути VPN.

Ще кілька кроків, зроблених з попередніх відповідей, просто для дурного захисту

  1. sudo service strongswan stop
  2. sudo systemctl disable strongswan
  3. Ви можете зберегти пароль на сторінці конфігурації VPN, натиснувши на значок праворуч від текстового поля пароля
twitu
джерело
1
Дякую, це працювало на мене. Linux Mint 19.2 (U18.04). Мені не довелося вимикати strongswan або xl2tpd, я просто вписав значення в поле "Ідентифікація шлюзу" і саме це порушило його. Для роботи TP-Link Box вона отримала 3des-md5-modp1024 вигоди.
Аарон Чемберлен
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.