VPN-клиент L2TP / IPSec в Ubuntu 16.04 VPN-сервису не удалось запуститься

12

В Ubuntu 16.04 я уже выполнил пару уроков по перестройке сетевого менеджера, также установленного через apt-get install network-manager-l2tp network-manager-l2tp-gnome.

Это работало до вчерашнего дня, когда появилось случайное сообщение The VPN connection failed because the VPN service failed to start. В конфигурации нет ошибок, поскольку те же учетные данные VPN и хост используются в другой Ubuntu, также 16.04 и Windows 8.1.

Смотря на /var/log/syslog:

NetworkManager[899]: <info>  [1496143714.1953] audit: op="connection-activate" uuid="cac1651d-9cbd-4989-bc57-b9707ddd012a" name="VPNCS" pid=2295 uid=1000 result="success"
NetworkManager[899]: <info>  [1496143714.1973] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: Started the VPN service, PID 5798
NetworkManager[899]: <info>  [1496143714.2013] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: Saw the service appear; activating connection
NetworkManager[899]: <info>  [1496143714.2760] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: VPN connection: (ConnectInteractive) reply received
NetworkManager[899]: nm-l2tp[5798] <info>  ipsec enable flag: yes
NetworkManager[899]: ** Message: Check port 1701
NetworkManager[899]: nm-l2tp[5798] <info>  starting ipsec
NetworkManager[899]: Stopping strongSwan IPsec...
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22167, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22168, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22169, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22170, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22171, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22172, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22173, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22174, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22175, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22176, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22177, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22178, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22179, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22180, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22181, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22182, major_opcode = 33, minor_opcode = 0
NetworkManager[899]: Starting strongSwan 5.5.2 IPsec [starter]...
NetworkManager[899]: Loading config setup
NetworkManager[899]: Loading conn 'cac1651d-9cbd-4989-bc57-b9707ddd012a'
NetworkManager[899]: found netkey IPsec stack
charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.5.2, Linux 4.4.0-78-generic, x86_64)
NetworkManager[899]: nm-l2tp[5798] <warn>  IPsec service is not ready.
NetworkManager[899]: nm-l2tp[5798] <warn>  Could not establish IPsec tunnel.
NetworkManager[899]: (nm-l2tp-service:5798): GLib-GIO-CRITICAL **: g_dbus_method_invocation_take_error: assertion 'error != NULL' failed
NetworkManager[899]: <info>  [1496143732.4905] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: VPN plugin: state changed: stopped (6)
NetworkManager[899]: <info>  [1496143732.4929] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: VPN plugin: state change reason: unknown (0)
NetworkManager[899]: <info>  [1496143732.4952] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: VPN service disappeared
NetworkManager[899]: <warn>  [1496143732.4971] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: VPN connection: failed to connect: 'Message recipient disconnected from message bus without replying'

Я уже пытался удалить network-manager-l2tpи -gnomeпакеты и переустановить их, но у меня все еще та же ошибка.

Любое исправление?

Фабиано
источник

Ответы:

14

Я нашел решение в репозитории разработчика.

https://github.com/nm-l2tp/network-manager-l2tp/issues/38#issuecomment-303052751

Версия 1.2.6 больше не переопределяет стандартные шифры IPsec, и я подозреваю, что ваш VPN-сервер использует устаревший шифр, более новые версии strongSwan считают сломанными.

См. Указанный пользователем раздел комплектов шифров IPsec в файле README.md, чтобы узнать, как дополнить шифры по умолчанию для strongSwan своими:

https://github.com/nm-l2tp/network-manager-l2tp#user-specified-ipsec-ikev1-cipher-suites

Я бы порекомендовал установить пакет ike-scan, чтобы проверить, какие шифры рекламирует ваш VPN-сервер, например:

$ sudo systemctl stop strongswan  
$ sudo ike-scan 123.54.76.9  
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
123.54.76.9   Main Mode Handshake returned HDR=(CKY-R=5735eb949670e5dd) SA=(Enc=3DES Hash=SHA1 Auth=PSK Group=2:modp1024 LifeType=Seconds LifeDuration(4)=0x00007080)
Ending ike-scan 1.9: 1 hosts scanned in 0.263 seconds (3.80 hosts/sec).  1 returned handshake; 0 returned notify

Таким образом, в этом примере, где объявляется сломанный 3DES-шифр, в расширенном разделе диалогового окна IPsec для версии 1.2.6 добавьте следующее:

  • Фаза 1 Алгоритмы: 3des-sha1-modp1024

  • Фаза2 Алгоритмы: 3des-sha1

После всех шагов попробуйте L2TP-соединение, оно должно быть установлено.

PRIHLOP
источник
Спасатель жизни! Я хотел бы добавить, что если вы запускаете sudo ike-scan <address>и возвращаете что-то о связывании и порте, который уже используется, возможно, этого systemctl stop strongswanбыло недостаточно, и charonон все еще работает. Можно подтвердить, что работает sudo netstat -nplи проверяет верхний блок, где показаны процессы и используемые порты. Я мог бы полностью остановить работу Харона sudo service strongswan stop, не зная , почему поведение отличается от этого systemctl.
Фабиано
3
-sПереключатель ike-scanса сэкономить некоторое PID охоты;). Это может даже спасти вас sudo: ike-scan -s 60066 <IP>
brisssou
Я думаю, что поскольку Strongswan является «устаревшим» сервисом, сценарии systemctl передаются на уровень совместимости, который может не обрабатывать все зависимости должным образом. Я заметил похожую проблему с остановкой systemctl, недостаточной для включения использования ike-scan.
dragon788
Я только что столкнулся с другой проблемой с процессом, использующим порт 500. Это также делает мое соединение тайм-аутом возврата. В этом случае я нашел его, попробовав запустить, ike-scanи он сказал, что порт 500 уже используется. используя netstat -nplпоказано, что docker-proxyиспользовал его. Поскольку я не зависел от докера, я остановил его sudo service docker stopи смог успешно подключиться к L2TP VPN.
Фабиано
2

Этот ответ относится только к подключению к учетной записи Cisco Meraki в L2TP / IP VPN. Решение работает на моей системе Ubuntu 16.04. Все инструкции напрямую скопированы из ответа Pigman в этой ветке форума Meraki . Сняв шляпу перед ним, он спас меня от многих часов разочарования.

  1. Установите network-manager-l2tp: sudo add-apt-repository ppa:nm-l2tp/network-manager-l2tpи `sudo apt-get update sudo apt-get установите network-manager-l2tp
  2. Если вы используете gnome, установите плагин gnome (если вы используете другую рабочую среду, посмотрите, есть ли плагин для сетевого менеджера): sudo apt-get install network-manager-l2tp-gnome
  3. перезагрузка
  4. Перейдите в Настройки> Сеть> Нажмите кнопку +> Выбрать «Протокол туннелирования уровня 2 (L2TP)»
  5. Назовите новое VPN-соединение как-нибудь
  6. Введите имя хоста или адрес в поле Шлюз.
  7. Введите имя пользователя в поле Имя пользователя.
  8. Нажмите на значок в поле «Пароль» и выберите, как указать пароль.
  9. Нажмите Настройки IPSec ...
  10. Установите флажок «Включить туннель IPsec для хоста L2TP».
  11. Введите общий секретный ключ в поле Предварительный общий ключ.
  12. Оставьте поле идентификатора шлюза пустым.
  13. Разверните область Дополнительные параметры
  14. Введите «3des-sha1-modp1024» в поле Алгоритмы фазы 1.
  15. Введите «3des-sha1» в поле Алгоритмы фазы 2.
  16. Оставьте флажок «Принудительно инкапсулировать UDP».
  17. Нажмите ОК.
  18. Нажмите Сохранить.
  19. Откройте терминал и введите следующие команды, чтобы навсегда отключить службу xl2tpdservice: sudo service xl2tpd stop
  20. Также введите следующее: sudo systemctl disable xl2tpd
  21. Откройте «Настройки сети» и попробуйте включить VPN.

Еще несколько шагов, взятых из предыдущих ответов, просто чтобы быть надежным

  1. sudo service strongswan stop
  2. sudo systemctl disable strongswan
  3. Вы можете сохранить пароль на странице конфигурации VPN, нажав на значок справа от текстового поля пароля.
twitu
источник
1
Спасибо, это сработало для меня. Linux Mint 19.2 (U18.04). Мне не нужно было выключать strongswan или xl2tpd. Я просто указал значение в поле «Идентификатор шлюза», и это его сломало. Для работы TP-Link Box это было 3des-md5-modp1024 икса.
Аарон Чемберлен