L2TP / IPSec перестал работать после обновления openssl

5

VPN-подключения от моих устройств MacBook / iOS к серверу Debian с openswan / xl2tp работали очень хорошо, пока я не использовал apt-get для обновления всего из-за объявления с открытым сердцем openssl.

Теперь VPN-соединение перестало работать со следующим на сервере auth.log:

Apr 11 10:32:50 linode pluto[7868]: packet from x.x.x.x:500: received Vendor ID payload [RFC 3947] method set to=109
Apr 11 10:32:50 linode pluto[7868]: packet from x.x.x.x:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike] method set to=110
Apr 11 10:32:50 linode pluto[7868]: packet from x.x.x.x:500: ignoring unknown Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8]
Apr 11 10:32:50 linode pluto[7868]: packet from x.x.x.x:500: ignoring unknown Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582]
Apr 11 10:32:50 linode pluto[7868]: packet from x.x.x.x:500: ignoring unknown Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285]
Apr 11 10:32:50 linode pluto[7868]: packet from x.x.x.x:500: ignoring unknown Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee]
Apr 11 10:32:50 linode pluto[7868]: packet from x.x.x.x:500: ignoring unknown Vendor ID payload [9909b64eed937c6573de52ace952fa6b]
Apr 11 10:32:50 linode pluto[7868]: packet from x.x.x.x:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] meth=108, but already using method 110
Apr 11 10:32:50 linode pluto[7868]: packet from x.x.x.x:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02] meth=107, but already using method 110
Apr 11 10:32:50 linode pluto[7868]: packet from x.x.x.x:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] meth=106, but already using method 110
Apr 11 10:32:50 linode pluto[7868]: packet from x.x.x.x:500: ignoring Vendor ID payload [FRAGMENTATION 80000000]
Apr 11 10:32:50 linode pluto[7868]: packet from x.x.x.x:500: received Vendor ID payload [Dead Peer Detection]
Apr 11 10:32:50 linode pluto[7868]: "L2TP-PSK-NAT"[1] x.x.x.x #1: responding to Main Mode from unknown peer x.x.x.x
Apr 11 10:32:50 linode pluto[7868]: "L2TP-PSK-NAT"[1] x.x.x.x #1: transition from state STATE_MAIN_R0 to state STATE_MAIN_R1
Apr 11 10:32:50 linode pluto[7868]: "L2TP-PSK-NAT"[1] x.x.x.x #1: STATE_MAIN_R1: sent MR1, expecting MI2
Apr 11 10:32:50 linode pluto[7868]: "L2TP-PSK-NAT"[1] x.x.x.x #1: message ignored because it contains an unknown or unexpected payload type (ISAKMP_NEXT_SAK) at the outermost level
Apr 11 10:32:50 linode pluto[7868]: "L2TP-PSK-NAT"[1] x.x.x.x #1: sending notification INVALID_PAYLOAD_TYPE to x.x.x.x:500
Apr 11 10:32:53 linode pluto[7868]: "L2TP-PSK-NAT"[1] x.x.x.x #1: message ignored because it contains an unknown or unexpected payload type (ISAKMP_NEXT_SAK) at the outermost level
Apr 11 10:32:53 linode pluto[7868]: "L2TP-PSK-NAT"[1] x.x.x.x #1: sending notification INVALID_PAYLOAD_TYPE to x.x.x.x:500
Apr 11 10:32:56 linode pluto[7868]: "L2TP-PSK-NAT"[1] x.x.x.x #1: message ignored because it contains an unknown or unexpected payload type (ISAKMP_NEXT_SAK) at the outermost level

и тогда связь обрывается.

Тот же тип соединения, который использовался для создания этого в журналах только 10 дней назад:

Apr  1 04:16:04 linode pluto[3093]: "L2TP-PSK-NAT"[37] y.y.y.y #43: responding to Main Mode from unknown peer y.y.y.y
Apr  1 04:16:04 linode pluto[3093]: "L2TP-PSK-NAT"[37] y.y.y.y #43: transition from state STATE_MAIN_R0 to state STATE_MAIN_R1
Apr  1 04:16:04 linode pluto[3093]: "L2TP-PSK-NAT"[37] y.y.y.y #43: STATE_MAIN_R1: sent MR1, expecting MI2
Apr  1 04:16:04 linode pluto[3093]: "L2TP-PSK-NAT"[37] y.y.y.y #43: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike (MacOS X): peer is NATed
Apr  1 04:16:04 linode pluto[3093]: "L2TP-PSK-NAT"[37] y.y.y.y #43: transition from state STATE_MAIN_R1 to state STATE_MAIN_R2
Apr  1 04:16:04 linode pluto[3093]: "L2TP-PSK-NAT"[37] y.y.y.y #43: STATE_MAIN_R2: sent MR2, expecting MI3
Apr  1 04:16:04 linode pluto[3093]: "L2TP-PSK-NAT"[37] y.y.y.y #43: ignoring informational payload, type IPSEC_INITIAL_CONTACT msgid=00000000
Apr  1 04:16:04 linode pluto[3093]: "L2TP-PSK-NAT"[37] y.y.y.y #43: Main mode peer ID is ID_IPV4_ADDR: '192.168.2.101'
Apr  1 04:16:04 linode pluto[3093]: "L2TP-PSK-NAT"[37] y.y.y.y #43: switched from "L2TP-PSK-NAT" to "L2TP-PSK-NAT"
Apr  1 04:16:04 linode pluto[3093]: "L2TP-PSK-NAT"[38] y.y.y.y #43: deleting connection "L2TP-PSK-NAT" instance with peer y.y.y.y {isakmp=#0/ipsec=#0}
Apr  1 04:16:04 linode pluto[3093]: "L2TP-PSK-NAT"[38] y.y.y.y #43: transition from state STATE_MAIN_R2 to state STATE_MAIN_R3

и т.п.

Мои вопросы:

  1. Каков наиболее очевидный смысл ошибки INVALID_PAYLOAD_TYPE?
  2. Кроме понижения версии openswan, каковы мои лучшие варианты для исследования и устранения этой проблемы?
Денис Креминский
источник
похоже, что он не может согласовать метод IKE (межсетевой обмен ключами) и, несмотря на попытку нескольких методов, все еще не может договориться об одном между двумя узлами.
Фрэнк Томас,
Я предполагаю, что IKE должны быть где-то настраиваемыми?
Деннис Креминский
Нет, похоже на резервный механизм автоматического согласования. вероятно, определяется международными стандартами. Я думаю, это потому, что у вас есть несоответствие между возможностями программных компонентов на коллегах. убедитесь, что обе стороны соединения были обновлены.
Фрэнк Томас,
клиентская сторона - Mac OS X / IOS, так что я мало что могу сделать на самом деле, меня озадачивает то, что он работал просто отлично, а поиск в Google дает только пользователям малины, которые имеют схожие проблемы, и просто понижают версию, чтобы исправить ее.
Деннис Креминский

Ответы:

6

Я только что столкнулся с той же проблемой сегодня, и, похоже, она вызвана последним обновлением безопасности для Debian Wheezy для OpenSWAN. Когда вы делаете, dpkg -l | grep openswanя предполагаю, что вы 1:2.6.37-3+deb7u1установили.

Для того, чтобы он снова работал с вашим iPad / IPhone, вы должны понизить версию openswan на вашем сервере с помощью apt-get install openswan=1:2.6.37-3.

Конечно, это всего лишь уродливый обходной путь, и я не уверен, является ли это ошибкой в ​​последней версии openswan или IOS, но будем надеяться, что любой из них исправит это как можно скорее.

gucki
источник
Большое спасибо за ваш ответ, он действительно решает проблему, и я думаю, нам придется с этим смириться.
Деннис Креминский
Я установил пропатченный deb отсюда, и он работает: bugs.debian.org/cgi-bin/bugreport.cgi?bug=744717
Halfgaar
Это исправило проблему и для меня. Для тех, кто ищет openswan 1: 2.6.37-3 для Raspberry Pi, он доступен здесь: snapshot.raspbian.org/201403301125/raspbian/pool/main/o/…
KernelSanders
А еще лучше, если возможно, переключиться на сильный. Openswan будет удален из следующего выпуска Debian, afaik.
Gucki