Я пытаюсь подключиться к cisco l2tp/ipsec vpn с помощью PSK и имени пользователя/пароля IKEv1.
Согласно этой статье я обнаружил, что сервер поддерживает следующие методы аутентификации:
SA=(Enc=3DES Hash=MD5 Group=2:modp1024 Auth=PSK LifeType=Seconds LifeDuration=28800)
SA=(Enc=3DES Hash=SHA1 Group=2:modp1024 Auth=PSK LifeType=Seconds LifeDuration=28800)
SA=(Enc=AES KeyLength=128 Hash=SHA1 Group=2:modp1024 Auth=PSK LifeType=Seconds LifeDuration=28800)
SA=(Enc=AES KeyLength=256 Hash=SHA1 Group=2:modp1024 Auth=PSK LifeType=Seconds LifeDuration=28800)
Я использую пакет networkmanager-l2tp
. Пробовал и openswan
, и libreswan
(, собранные вручную с помощью USE_DH2=true
, как описано в этой примечании к патчу).
Мой файл .nmconnection
выглядит следующим образом:
[connection]
id=etis
uuid=70147d0a-5d7f-467a-80ee-9048601960e1
type=vpn
permissions=user:***:;
[vpn]
gateway=vpn.psu.ru
ipsec-enabled=yes
ipsec-esp=aes128-sha1,3des-md5
ipsec-ike=aes128-sha1-modp1024,3des-sha1-modp1024
ipsec-psk=***
password-flags=1
user=***
service-type=org.freedesktop.NetworkManager.l2tp
Когда я пытаюсь подключиться, я получаю следующий журнал:
журнал с использованием strongswan
журнал с использованием libreswan с USE_DH2=true
Судя по тому, что я вижу, кажется, что в обоих направлениях ipsec
соединение устанавливается успешно, но затем происходит это:
xl2tpd[106869]: Listening on IP address 0.0.0.0, port 1701
xl2tpd[106869]: Connecting to host 212.192.80.206, port 1701
xl2tpd[106869]: death_handler: Fatal signal 15 received
В журнале Strongswan также есть это подозрительное сообщение между вышеперечисленными:
charon[78694]: 01[NET] received packet: from 212.192.80.206[4500] to 192.168.5.28[4500] (164 bytes)
charon[78694]: 01[IKE] received retransmit of response with ID 1610789051, but next request already sent
На данный момент я исчерпал свои ресурсы. Гугл навыки. Если бы кто-нибудь мог сказать мне, куда идти дальше, или, по крайней мере, сказать, связана ли эта проблема с ipsec
или l2tp
частью уравнения, я был бы очень признателен.
Ошибка no acceptable traffic selectors found
в журналах описана на следующей странице, где также есть обходной путь: