L2TP (xl2tpd+openswan) и Android

Автор FillRU, 09 октября 2019, 11:54:49

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

FillRU

В общем такой совет нужен, настроил L2TP сервер, связка xl2tpd+openswan, все замечательно конектится в винде и на iOS, а на андроиде напрочь не хочет.
Выбираю L2TP/IPSec PSK висит думает и в итоге ошибка.
Профили есть еще такие, но кроме PPTP ничего не заводится, а нужен именно L2TP
Открыть содержимое (спойлер)
[attach=1,msg116324]
[свернуть]
Конфиги такие

ipsec.conf
config setup
   nat_traversal=yes
   virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
   oe=off
   protostack=netkey

conn L2TP-PSK-NAT
   rightsubnet=vhost:%priv
   also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
   authby=secret
   pfs=no
   auto=add
   keyingtries=3
   rekey=no
   ikelifetime=8h
   keylife=1h
   type=transport
   left=IP СЕРВЕРА
   leftprotoport=17/1701
   right=%any
   rightprotoport=17/%any


ipsec.secrets
IP СЕРВЕРА %any : PSK "общий ключ"

xl2tpd.conf
[global]
port = 1701
ipsec saref = yes
saref refinfo = 30

[lns default]
ip range = 10.1.2.2-10.1.2.255
local ip = 10.1.2.1
refuse chap = yes
refuse pap = yes
require authentication = yes
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes
name = VPN


options.xl2tpd
require-mschap-v2
ms-dns 8.8.8.8
ms-dns 8.8.4.4
asyncmap 0
auth
crtscts
lock
hide-password
modem
#debug
name VPN
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4
logfile /var/log/xl2tpd.log


chap-secrets
user1            VPN     u321789                  *

Скрипт настройки сети
iptables --table nat --append POSTROUTING --jump MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
for each in /proc/sys/net/ipv4/conf/*
do
echo 0 > $each/accept_redirects
echo 0 > $each/send_redirects
done
/etc/init.d/ipsec restart



В общем как-то так, на всем кроме андроида работает замечательно.
Да, Debian 9, 10 пробовал, идентично. openswan из исходников, в репозиториях нет почему то.

ipsec verify
ЦитироватьChecking if IPsec got installed and started correctly:

Version check and ipsec on-path                         [OK]
Openswan U2.6.51.5/K4.19.0-6-amd64 (netkey)
See `ipsec --copyright' for copyright information.
Checking for IPsec support in kernel                    [OK]
NETKEY: Testing XFRM related proc values
         ICMP default/send_redirects                    [OK]
         ICMP default/accept_redirects                  [OK]
         XFRM larval drop                               [OK]
Hardware random device check                            [N/A]
Checking rp_filter                                      [OK]
Checking that pluto is running                          [OK]
Pluto listening for IKE on udp 500                     [OK]
Pluto listening for IKE on tcp 500                     [NOT IMPLEMENTED]
Pluto listening for IKE/NAT-T on udp 4500              [OK]
Pluto listening for IKE/NAT-T on tcp 4500              [NOT IMPLEMENTED]
Pluto listening for IKE on tcp 10000 (cisco)           [NOT IMPLEMENTED]
Checking NAT and MASQUERADEing                          [TEST INCOMPLETE]
Checking 'ip' command                                   [OK]
Checking 'iptables' command                             [OK]

HunterCHE

Я в дни ковыряний тоннелей, которые должны заводиться при наличии успешного примера нашел ikescan. Детали vpn протоколов на android сводятся к их фактической неработоспособности при использовании udp.