Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Сетевые технологии (http://forum.oszone.net/forumdisplay.php?f=31)
-   -   [решено] L2TP\IPsec Error 789 809 (http://forum.oszone.net/showthread.php?t=297373)

Ыть 23-03-2015 22:29 2486657
L2TP\IPsec Error 789 809
 
есть сервер с Debian и почти настроенным VPN L2TP\IPsec.
Конфигурация ниже, делал по этой статье:
Скрытый текст

ipsec.conf
Код:
config setup
  protostack=netkey
  nat_traversal=yes                          # Enables NAT traversal
  virtual_private=%v4:192.168.1.0/24          # with this option you can add your local IP in NAT
conn L2TP-PSK-NAT
  rightsubnet=vhost:%priv
  also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
  authby=secret                              # Auth with PSK ( preshared key )
  pfs=no
  auto=add                                 
  keyingtries=3
  rekey=no
  ikelifetime=8h
  salifetime=10m
  type=tunnel                                # type of l2tp connection ( tunnel / transport )
  left=192.168.178.12                        # left - is internet IP of l2tp server
  leftprotoport=17/1701
  right=%any                                # right - is IP of client ( if client NATed , that IP of client is IP in NAT )
  rightprotoport=17/1701

Скрытый текст

ipsec.secrets
Код:
# This file holds shared secrets or RSA private keys for inter-Pluto
# authentication.  See ipsec_pluto(8) manpage, and HTML documentation.

# RSA private key for this host, authenticating it to any other host
# which knows the public part.  Suitable public keys, for ipsec.conf, DNS,
# or configuration of other implementations, can be extracted conveniently
# with "ipsec showhostkey".

# this file is managed with debconf and will contain the automatically created RSA keys
include /var/lib/openswan/ipsec.secrets.inc
192.168.178.12 %any: PSK "mykey1"


Скрытый текст

xl2tpd.conf
Код:
[global]
listen-addr = 192.168.178.12
port = 1701
auth file = /etc/xl2tpd/l2tp-secrets
[lns default]
ip range = 10.0.0.2-10.0.0.200
local ip = 10.0.0.1                       
refuse chap = yes
refuse pap = yes
require authentication = yes
ppp debug = no
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes
exclusive = no
assign ip = yes
name = VPN-Server


Скрытый текст

l2tp-secrets
Код:
# Secrets for authenticating l2tp tunnels
# us        them        secret
# *                marko blah2
# zeus                marko        blah
# *        *        interop
*      *      *  # let all , because we use auth with ppp


Скрытый текст
Код:
ipsec verify
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path                                [OK]
Linux Openswan U2.6.37/K3.2.0-4-amd64 (netkey)
Checking for IPsec support in kernel                            [OK]
 SAref kernel support                                          [N/A]
 NETKEY:  Testing XFRM related proc values                      [OK]
        [OK]
        [OK]
Checking that pluto is running                                  [OK]
 Pluto listening for IKE on udp 500                            [OK]
 Pluto listening for NAT-T on udp 4500                          [OK]
Checking for 'ip' command                                      [OK]
Checking /bin/sh is not /bin/dash                              [WARNING]
Checking for 'iptables' command                                [OK]
Opportunistic Encryption Support                                [DISABLED]


открытые порты на сервере:
Скрытый текст
Код:
nmap -sT -O localhost

Starting Nmap 6.00 ( http://nmap.org ) at 2015-03-23 19:52 CET
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00010s latency).
Other addresses for localhost (not scanned): 127.0.0.1
Not shown: 997 closed ports
PORT    STATE SERVICE
22/tcp  open  ssh
25/tcp  open  smtp
111/tcp open  rpcbind
No exact OS matches for host (If you know what OS is running on it, see http://nmap.org/submit/ ).
TCP/IP fingerprint:
OS:SCAN(V=6.00%E=4%D=3/23%OT=22%CT=1%CU=39556%PV=N%DS=0%DC=L%G=Y%TM=5510610
OS:8%P=x86_64-unknown-linux-gnu)SEQ(SP=105%GCD=1%ISR=108%TI=Z%CI=I%II=I%TS=
OS:8)OPS(O1=M400CST11NW5%O2=M400CST11NW5%O3=M400CNNT11NW5%O4=M400CST11NW5%O
OS:5=M400CST11NW5%O6=M400CST11)WIN(W1=8000%W2=8000%W3=8000%W4=8000%W5=8000%
OS:W6=8000)ECN(R=Y%DF=Y%T=41%W=8018%O=M400CNNSNW5%CC=Y%Q=)T1(R=Y%DF=Y%T=41%
OS:S=O%A=S+%F=AS%RD=0%Q=)T2(R=N)T3(R=N)T4(R=Y%DF=Y%T=41%W=0%S=A%A=Z%F=R%O=%
OS:RD=0%Q=)T5(R=Y%DF=Y%T=41%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)T6(R=Y%DF=Y%T=41%W
OS:=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=41%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)
OS:U1(R=Y%DF=N%T=41%IPL=164%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUD=G)IE(R=Y%D
OS:FI=N%T=41%CD=S)

Network Distance: 0 hops

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 12.54 seconds


Клиент - Windows 8.1 & Windows 2012 R2:

получаю предупреждение что шифрования не будет:

Жмякаю подключить, ввожу пользователя и пароль - всё работает!
как только настраиваю IPsec - получаю ошибку 789.
Нашёл видео, где настраивается согласование IPsec, но мне не помогло. Судя по комментариям не всем помогает.
Сервер находится за натом, проброшены порты (без проброса ничего не работало):


пробрасывал GRE, ESP - не помогало. Их вообще нужно пробрасывать?
в чём проблема? Чего не хватает?

ps.: на сервере 2012 R2 нет возможности удалить методы безопасности :
Скрытый текст


Спасибо.

pavsem7 23-03-2015 22:57 2486673
Цитата:
Цитата Ыть
на сервере 2012 R2 нет возможности удалить методы безопасности »
Галочка про применение этих методов не стоит - видимо не будут применяться, удалять необязательно.

Порт 1701 в настройках сервера указан, поэтому и пробрасывали. А 500 и 4500 откуда взяли?(there may be a problem with its built-in firewall ("Internet Connection Firewall"). If you encounter this problem, you may have to open ports in ICF (probably UDP ports 500 and 4500))

Цитата:
Цитата Ыть
как только настраиваю IPsec - получаю ошибку 789 »
Как настраивали - не показали.
Цитата:
Цитата Ыть
192.168.178.12 %any: PSK "mykey1" »
В комментариях к статье написано, что в IPsec.secrets должно быть: (или это там только концовка написана?)

: PSK "mykey1"

Цитата:
Цитата Ыть
ipsec showhostkey »
это показывает ключ?

Цитата:
Цитата Ыть
ip range = 10.0.0.2-10.0.0.200
local ip = 10.0.0.1 »
Цитата:
Цитата Ыть
virtual_private=%v4:192.168.1.0/24 »
Мне странно из статьи несовпадающие локальные подсети в файлах. Может ошибка в статье? Или это подсети, которые соединяют.

Цитата:
Цитата Ыть
как только настраиваю IPsec - получаю ошибку 789 »
The error message 789 occurs when IPsec is not configured properly on both ends
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters

This error may occur in the following cases:
• The certificate (plus private key) has not been installed correctly
•The remote VPN server is rejecting the IPsec connection because the configuration of the client and the server do not match ("no connection has been authorized").
Verify in MMC that certificates actually have been installed
Check the internal clock of your computer
Select "IPSec Policy Agent" from the list and check if the Startup type is set to "Automatic"

Ыть 23-03-2015 23:55 2486690
Цитата:
Цитата pavsem7
А 500 и 4500 откуда взяли? »
от сюда.

Цитата:
Цитата pavsem7
как только настраиваю IPsec - получаю ошибку 789 »
Как настраивали - не показали. »
я ссылку на видео привёл.

Цитата:
Цитата pavsem7
В комментариях к статье написано, что »
автор ниже дописал, что дополнил статью.

Цитата:
Цитата pavsem7
Мне странно из статьи несовпадающие локальные подсети в файлах. Может ошибка в статье? »
если честно, я не знаю. поменял на 10-ую сеть - тоже самое.
Цитата:
Цитата pavsem7
ipsec showhostkey »
это показывает ключ? »
Код:
ipsec showhostkey --ipseckey 192.168.178.12
ipsec showhostkey "/etc/ipsec.secrets" line 11: unterminated string
ipsec showhostkey: wrong kind of key PPK_PSK in show_dnskey. Expected PPK_RSA.
похоже ошибка.

Ыть 24-03-2015 00:26 2486697
Цитата:
Цитата Ыть
ipsec showhostkey --ipseckey 192.168.178.12
ipsec showhostkey "/etc/ipsec.secrets" line 11: unterminated string
ipsec showhostkey: wrong kind of key PPK_PSK in show_dnskey. Expected PPK_RSA.
похоже ошибка. »
читал где-то, что в конф файлах должны в конце быть пустые строчки - добавил пустую строку - заработало! но только в локальной сети.
Цитата:
ipsec showhostkey --ipseckey 192.168.178.12
ipsec showhostkey: wrong kind of key PPK_PSK in show_dnskey. Expected PPK_RSA.
при коннекте из вне - ошибка 809. пошёл читать )

pavsem7 24-03-2015 09:58 2486788
Цитата:
Цитата Ыть
читал где-то, что в конф файлах должны в конце быть пустые строчки - добавил пустую строку - заработало! но только в локальной сети. »
А сам файл так же: 192.168.178.12 %any: PSK "mykey1" только с пустой строчкой?

Ыть 24-03-2015 20:27 2487072
Цитата:
Цитата pavsem7
А сам файл так же: 192.168.178.12 %any: PSK "mykey1" только с пустой строчкой? »
после строки с паролем должна быть пустая строка.
Цитата:
Цитата Ыть
при коннекте из вне - ошибка 809. »
по описаниям в интернете решением является открытие портов на виндовом или внешнем фаерволе, но мне помогла правка реестра AssumeUDPEncapsulationContextOnSendRule.
На внешнем фаерволе (для клиента) ничего не открывал, не пробрасывал.

осталось решить, почему шлюз по умолчанию не назначается... хотя это точка-точка... нет интернета на машине с VPN IPsec.

забыл указать опции подключения:
Скрытый текст

options.xl2tpd
Код:
refuse-mschap-v2
refuse-mschap
ms-dns 8.8.8.8
ms-dns 8.8.4.4
asyncmap 0
auth
crtscts
idle 1800
mtu 1200
mru 1200
lock
hide-password
local
#debug
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4
defaultroute


и ещё я вспомнил, что у нас один бухгалтер работает с Cisco VPN клиентом, и там тоже IPSec и тоже интернета нет. Может так и должно быть в случае IPSec?

pavsem7 24-03-2015 23:27 2487159
Цитата:
Цитата Ыть
но мне помогла правка реестра AssumeUDPEncapsulationContextOnSendRule. »
=2 во многих местах в интернете написано, не только у MS

А подсети у Вас какие 10.*.*.* и 192.168.*.* в разных файлах, когда заработало все?

Цитата:
Цитата Ыть
что у нас один бухгалтер работает с Cisco VPN клиентом, и там тоже IPSec и тоже интернета нет. »

С чем эта бухгалтер связывается? Если с cisco роутером, то там никогда не надо править реестр windows, но бывают у провайдеров локальные подсети, которые конфликтуют с локальной подсетью, из которой роутер раздает адрес или плохое качество связи(у сотовых)

Ыть 18-05-2015 16:20 2508712
Цитата:
Цитата pavsem7
С чем эта бухгалтер связывается? Если с cisco роутером, то там никогда не надо править реестр windows »
да, с циско роутером.


Время: 21:21.

Время: 21:21.
© OSzone.net 2001-