IPSec/L2TP VPN: Klienti se nepřipojují

Vím, že jsem opravdu blízko k tomu, abych tento systém uvedl do chodu, ale stále se nemohu připojit s Windows 10 ani s Android zařízením.

Následuje výstup z obou logů, IPSec a L2TP.
POZNÁMKA: Výstupní pořadí je od spodu k horní ploše.

Firewall nic neblokuje na straně WAN, již jsem kontroloval logy firewallu.

Doufám, že mi někdo může s tímto pomoci.

IPsec logfile:

Jan 26 22:09:20 charon 06[IKE] <con-mobile|7> IKE_SA con-mobile[7] stavová změna: DELETING => DESTROYING

Jan 26 22:09:20 charon 06[IKE] <con-mobile|7> IKE_SA con-mobile[7] stavová změna: DELETING => DELETING

Jan 26 22:09:20 charon 06[IKE] <con-mobile|7> IKE_SA con-mobile[7] stavová změna: ESTABLISHED => DELETING

Jan 26 22:09:20 charon 06[IKE] <con-mobile|7> odstraňuje IKE_SA con-mobile[7] mezi 80.5.40.225[80.5.40.225]...10.100.100.42[10.100.100.42]

Jan 26 22:09:20 charon 06[IKE] <con-mobile|7> obdržel DELETE pro IKE_SA con-mobile[7]

Jan 26 22:09:20 charon 06[ENC] <con-mobile|7> analyzoval požadavek INFORMATIONAL_V1 2127477031 [ HASH D ]

Jan 26 22:09:20 charon 06[NET] <con-mobile|7> přijat paket: od 10.100.100.42[500] do 80.5.40.225[500] (84 bajtů)

Jan 26 22:09:20 charon 08[CHD] <con-mobile|7> CHILD_SA con-mobile{7} stavová změna: DELETED => DESTROYING

Jan 26 22:09:20 charon 08[CHD] <con-mobile|7> CHILD_SA con-mobile{7} stavová změna: DELETING => DELETED

Jan 26 22:09:20 charon 08[IKE] <con-mobile|7> zavírání CHILD_SA con-mobile{7} s SPIs cc85f570_i (1123 bajtů) 2737b69c_o (1432 bajtů) a TS 80.5.40.225/32|/0[udp/l2f] === 10.100.100.42/32|/0[udp/l2f]

Jan 26 22:09:20 charon 08[CHD] <con-mobile|7> CHILD_SA con-mobile{7} stavová změna: INSTALLED => DELETING

Jan 26 22:09:20 charon 08[IKE] <con-mobile|7> obdržel DELETE pro ESP CHILD_SA s SPI 2737b69c

Jan 26 22:09:20 charon 08[ENC] <con-mobile|7> analyzoval požadavek INFORMATIONAL_V1 904867311 [ HASH D ]

Jan 26 22:09:20 charon 08[NET] <con-mobile|7> přijat paket: od 10.100.100.42[500] do 80.5.40.225[500] (76 bajtů)

Jan 26 22:09:17 charon 08[CHD] <con-mobile|7> CHILD_SA con-mobile{7} stavová změna: INSTALLING => INSTALLED

Jan 26 22:09:17 charon 08[IKE] <con-mobile|7> CHILD_SA con-mobile{7} byla úspěšně navázána s SPIs cc85f570_i 2737b69c_o a TS 80.5.40.225/32|/0[udp/l2f] === 10.100.100.42/32|/0[udp/l2f]

Jan 26 22:09:17 charon 08[CHD] <con-mobile|7> SPI 0x2737b69c, zdroj 80.5.40.225 cíl 10.100.100.42

Jan 26 22:09:17 charon 08[CHD] <con-mobile|7> přidání odchozí ESP SA

Jan 26 22:09:17 charon 08[CHD] <con-mobile|7> SPI 0xcc85f570, zdroj 10.100.100.42 cíl 80.5.40.225

Jan 26 22:09:17 charon 08[CHD] <con-mobile|7> přidání příchozí ESP SA

Jan 26 22:09:17 charon 08[CHD] <con-mobile|7> používání HMAC_SHA1_96 pro integritu

Jan 26 22:09:17 charon 08[CHD] <con-mobile|7> používání AES_CBC pro šifrování

Jan 26 22:09:17 charon 08[CHD] <con-mobile|7> CHILD_SA con-mobile{7} stavová změna: VYTVOŘENO => INSTALOVÁNO

Jan 26 22:09:17 charon 08[ENC] <con-mobile|7> analyzoval požadavek QUICK_MODE 1 [ HASH ]

Jan 26 22:09:17 charon 08[NET] <con-mobile|7> přijat paket: od 10.100.100.42[500] do 80.5.40.225[500] (60 bajtů)

Jan 26 22:09:17 charon 08[NET] <con-mobile|7> odeslání paketu: od 80.5.40.225[500] do 10.100.100.42[500] (180 bajtů)

Jan 26 22:09:17 charon 08[ENC] <con-mobile|7> generování odpovědi QUICK_MODE 1 [ HASH SA No ID ID ]

Jan 26 22:09:17 charon 08[IKE] <con-mobile|7> obdržel 250000000 lifebytes, nakonfigurováno 0

Jan 26 22:09:17 charon 08[CFG] <7> vybrané návrhy: ESP:AES_CBC_128/HMAC_SHA1_96/NO_EXT_SEQ

Jan 26 22:09:17 charon 08[CFG] <7> nakonfigurovány návrhy: ESP:AES_CBC_128/HMAC_MD5_96/NO_EXT_SEQ, ESP:AES_CBC_128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_GCM_16_128/NO_EXT_SEQ, ПРОТОКОЛ: ESP:AES_GCM_16_128/NO_EXT_SEQ, ESP:AES_GCM_16_128/NO_EXT_SEQ, ESP:AES_GCM_16_128/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA2_256_128/NO_EXT_SEQ

Jan 26 22:09:17 charon 08[CFG] <con-mobile|7> obdržené návrhy: ESP:AES_CBC_256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:NULL/HMAC_SHA1_96/NO_EXT_SEQ, AH:HMAC_SHA1_96/NO_EXT_SEQ

Jan 26 22:09:17 charon 08[CFG] <con-mobile|7> návrh odpovídá

Jan 26 22:09:17 charon 08[CFG] <con-mobile|7> výběr návrhu:

Jan 26 22:09:17 charon 08[CFG] <con-mobile|7> žádný přijatelné algoritmus ŠIFROVÁNÍ nenalezen

Jan 26 22:09:17 charon 08[CFG] <con-mobile|7> výběr návrhu:

Jan 26 22:09:17 charon 08[CFG] <con-mobile|7> protokolová nesoulad, preskočit

Jan 26 22:09:17 charon 08[CFG] <con-mobile|7> výběr návrhu:

Jan 26 22:09:17 charon 08[CFG] <con-mobile|7> žádný přijatelné algoritmus ŠIFROVÁNÍ nenalezen

Jan 26 22:09:17 charon 08[CFG] <con-mobile|7> výběr návrhu:

Jan 26 22:09:17 charon 08[CFG] <con-mobile|7> žádný přijatelné algoritmus INTEGRITY nenalezen

Budete s IKEv2 mobilní IPsec mnohem spokojenější a ne s L2TP/IPsec.

Přečtěte si varování: L2TP/IPsec Remote Access VPN Configuration Example | pfSense Documentation

Opravdu potřebujete L2TP?
Myslím, že je téměř již zastaralé kvůli bezpečnostním problémům.

Teď o vašem problému, uživatel vpnuser neexistuje nebo je část špatně nastavená.

Dal jsem si něco přes (nějaký význam, například co jsem opravdu přehlédl?). Toto je konfigurace L2TP přes IPSec. Myslel jsem, že je to docela bezpečné.

Uklidni to, díky moc!

Vypadá to, že je problém u pfSense, když začíná heslo znakem (v mém případě to byl znak !).

Změnil jsem heslo a teď to funguje.

L2TP při použití s IPSec je bezpečné. Samotný L2TP není šifrovaný. Jste v pohodě!