Problémy s nastavením VPN serveru L2TP

UPRAVA: Rozhodl jsem se zkusit jinou cestu a dát šanci OpenVPN. Tento příspěvek ponechám nahoře pro případ, že by někdo s tímto problémem našel komentáře užitečné.

Postupoval jsem podle totoho průvodce a když se snažím připojit k VPN ve Windows 7, dostanu:

Chyba 789: Pokus o připojení přes L2TP se nezdařil, protože vrstva zabezpečení během počátečních vyjednávání s vzdáleným počítačem narazila na chybu zpracování.

Všechny porty jsou přesměrovány, sledoval jsem instrukce v průvodci do detailu, všechny s výměnou mých IP adres za instrukce, a nevzpomínám si, že bych něco zapomněl…Kontroloval jsem to třikrát.

Máš nějakou představu, co by se mohlo dít? Jsem docela technicky zdatný, ale v samoučící se formě, takže mi tato chybová hláška nic neříká.

Správné nastavení L2TP a IPsec může být na Linuxu poměrně složité. Pokud mohu doporučit alternativu, zvažte použití SoftEther. Je to open-source a kompatibilní s Pi, a můžete jej použít pro nastavení SSTP, což je bezpečné a kompatibilní s Vista a novějšími systémy.

Zkoušíš se připojit odkud? Pokud se snažíš připojit k VPN serveru na LAN z jiného počítače na LAN (pro testování), můžeš narazit na problémy.

Nejprve se ujisti, že tvá služba IPSec běží. Vím, že XP na to bývá problematické, a někdy se to stane i ve Windows 7.

Vidíš nějaké záznamy na straně rpi?

Ahoj, technik SSL/VPN Barracuda Networks tady. Některé věci by pomohly při řešení problémů, pokud stále máte problém:

tady jsou příkazy, které pomohou:
netstat -tulpan: měl by ukázat porty 500 a 4500 UDP a 1701 TCP na 0.0.0.0/0

Pokud používáš arch-arm:
sudo systemctl status -l xl2ptd
sudo systemctl status -l openswan.service (pokud používáš)

Tyto příkazy ti ukážou výstup logů služeb (ujisti se, že běží)

nebo pokud jsi na Raspbianu, podívej se na init skript, kde se loguje.

IPsec probíhá ve dvou fázích, tato vypadá, že počáteční spojení selhává (fáze 1 = IKE, nastavování Diffie-Hellman pro výměnu klíčů)

V podstatě, ještě nemáme možnost vyměnit klíče, protože se nedostáváme do fáze, kdy máme navázané spojení.

Pokud NAT-ujete přes firewall, podívejte se, jaký typ NAT máte nastavený. Pokud měníme IP příchozích paketů na interní adresu, dokáže Pi najít cestu ven?

tcpdump -ni any -w dump -s 65535 udp port 500 nebo udp port 4500 nebo udp port 1701 nebo tcp port 1812 nebo tcp port 1813

Tento příkaz tcpdump pomůže s IPsec, můžete použít -w /cesta/k/souboru.pcap a zobrazit výstup ve wiresharku.

Také vypadá, že soubor ipsec.conf je pro průchodnost, možná by bylo lepší nastavit konfiguraci bez NAT. (zejména pokud používáte NAT firewall, který způsobuje problémy)

Uprava: Tento pán má další průvodce, který by mohl být vhodnější:

Předpokládám, že chcete použít L2TP v kombinaci se SWAN (což byste měli dělat). Oba protokoly nejsou dokonalé, proto se kombinují.

Doporučuji použít SoftEther VPN. Velmi snadná instalace a funguje nativně s OS X a iOS (pro mě ohromná výhoda).

Díky za tuto radu, měl jsem problém s připojením k VPN serveru (nejdříve jsem zkoušel OpenVPN, pak L2TP) a nedokázal jsem přijít na to, proč to nejde. Dnes jsem to zkusil s SoftEther pomocí tohoto tutoriálu: http://tomearp.blogspot.nl/2013/11/setting-up-l2tpipsec-vpn-with-softether.html a fungovalo to!

Ve skutečnosti se pokouším o to samé, snažím se připojit z mého desktopu (192.x.x.51), můj Pi je 192.x.x.21. Mám problém, jestliže je problém protože můj VPN server “host” je na stejné síti jako desktop “klient”, a porty nějak nejsou správně nastavené, nebo nějaká jiná zřejmá chyba?

Vlastně mám ještě jeden sub-problém, pokud vám nevadí, zhodnoťte ho také…Přiřadil jsem svému Pi statickou IP v mém routeru (192.x.x.100), ale pokaždé, když se připojím k domácí síti, dostává stále 192.x.x.21. Chtěl jsem router restartovat, ale raději jsem se zeptal tady, protože to souvisí s úspěšným nastavením VPN.

Všimněte si, že jsem se vzdal starého problému a zkusil OpenVPN, i když se stále nemohu připojit haha. Snad mi i tak pomůžete?

Pokaždé, když restartuji, hlásí mi to při startu před přihlášením:
spouštění daemonu virtuální privátní sítě: server selhal!
startpar: služba(y) vrátily selhání: openvpn … selhání!

Je zřejmé, že je něco špatně, ale nemám tušení co. Všechno vypadá správně, všechna pole jsou správná.

Maine, Pi nevyužívá DHCP? Nebo je ještě něco jiného, co také zadává IP?

Snažíš se VPN z 192.168.1.51 do 192.168.1.21? Proč? To asi nebude fungovat. Chtěl bys to dělat z externí lokality.

Udržuji openvpn server, tak možná. Ukaž své klientské a serverové konfigurace.

Nejsem si jistý, používám Comcast, jestli to má význam. Mám nastavený rozsah DHCP routeru na 192.x.x.1 - 192.x.x.20, a přiřadil jsem svému desktopu, notebooku a údajně Pi statické IP nad x.20, s porty 500 a 4500 UDP a 1701 TCP přesměrované na statickou IP Pi…jen mi dělá problém, aby Pi akceptovalo svou IP adresu. Když je připojen přímo k routeru kabelem, ifconfig neukazuje žádnou IP, proto jsem změnil statickou IP v routeru na novou MAC adresu eth0 místo původní wlan0.

Jo, to dává smysl. Doufal jsem, že to otestuji doma, ale asi to nebude možné, pokud ne přes mobil. O víkendu jedu na kempování, pak zde dám vědět, až se vrátím.

Wikipedia uvádí, že se používá udp port 1701, ne tcp. Pokud si dobře vzpomínám, neportoval jsem 1701 ve firewallu, pouze UDP.

Ano, nemůžeš VPN propojit do podsítě z téže podsítě bez velmi komplikované konfigurace. Také se ujisti, že síť, ze které VPN využíváš, není stejná v IP jako ta, ke které se připojuješ. Například pokud jdeš do práce a VPNuješ z 192.168.20.25 na 192.168.20.1 doma, můžeš mít problém.