Не подключается L2TP Client с шифрованием MPPE-128

I.A.N.A. · 24 октября 2023, 12:28:35

Приветствую уважаемое сообщество.

В общем суть проблемы: поднят на Mikrotik L2TP сервер. Виндовые клиенты подключаются, с шифрованием MPPE-128 Stateless, а вот клиент L2TP в Debian (да и вообще в любом другом линуксе) никак не хочет. Просто без шифрования подключается. А если в профиле микротика выставить шифрование Required (обязательное), то перестает подключаться вообще, ругается в логе <l2tp-nix15>: terminating... - Encryption negotiation rejected

Настраивал L2TP через GUI в Network Manager. L2TP обычный, не ipSec. При этом, PPTP соединение, настроенное там же, на этот же микротик, отлично подключается с MPPE-128 а вот L2TP никак не удалось заставить. Все опции в свойствах соединения включены, MPPE-128, Allow Statefull Encryption. Ни в одной комбинации не подключается никак. Подскажите что настроить можно в Linux чтобы заработало это шифрование?

I.A.N.A. · 27 октября 2023, 05:15:40

Неужели только я столкнулся с такой проблемой?

sonny363 · 28 октября 2023, 06:17:53

Конфиги клиента покажите.

I.A.N.A. · 29 октября 2023, 06:28:33

Цитата: sonny363 от 28 октября 2023, 06:17:53Конфиги клиента покажите.

Что именно показать? Скриншот с NM могу сделать.

29 октября 2023, 14:18:37

Цитата: sonny363 от 28 октября 2023, 06:17:53Конфиги клиента покажите.

Собственно методом проб и ошибок выяснилось вот что.

Если руками создать l2tp, используя файлы /etc/xl2tpd/xl2tpd.conf и его дочерний /etc/ppp/options.l2tp и подключать командой в терминале xl2tpd то все стартует и взлетает с MPPE-128. Без каких либо вопросов. Добавил в options.l2tp строчку require-mppe-128 и получил профит.

options.l2tp

Код Выделить

unit 0
name nix15
remotename l2tp
ipparam l2tp
mtu 1452
mru 1452
nodeflate
nobsdcomp
persist
maxfail 0
nopcomp
noaccomp
noauth
require-mppe-128

xl2tpd.conf

Код Выделить

[global]
port = 1701
access control = yes
rand source = dev
[lac test]
lns = 172.16.1.8
redial = yes
require authentication = yes
name = nix15
refuse pap = yes
refuse chap = yes
pppoptfile = /etc/ppp/options.l2tp
autodial = yes

C этими параметрами все отлично заработало.

А вот руками созданный конект l2tp в network Manager упорно не хочет стартовать с MPPE. Откуда он берет конфиги в таком случае?

I.A.N.A. · 01 ноября 2023, 07:47:32

Есть у кого нибудь идеи, коллеги?

sonny363 · 02 ноября 2023, 04:37:50

Видимо, здесь все предпочитают консольные команды

yoric · 02 ноября 2023, 05:56:26

Цитата: I.A.N.A. от 29 октября 2023, 06:28:33руками созданный конект l2tp в network Manager

Это Вы имеете в виду мышкой кнопку нажать?

Цитата: I.A.N.A. от 29 октября 2023, 06:28:33Откуда он берет конфиги в таком случае?

Разве у него во вкладках нет полей для заполнения?

I.A.N.A. · 02 ноября 2023, 07:17:16

Цитата: yoric от 02 ноября 2023, 05:56:26Это Вы имеете в виду мышкой кнопку нажать?

Именно. Создать руками допустим несколько L2TP\ЗЗЕЗ соединений в GUI NM

Цитата: yoric от 02 ноября 2023, 05:56:26Разве у него во вкладках нет полей для заполнения?

Есть. Там все включено касаемо MPPE но он игнорирует это. То есть по факту настройки эти не работают от слова совсем. Для PPTP - работает. Для L2TP- никак.

yoric · 02 ноября 2023, 09:45:25

А сделайте что-то типа

Код Выделить

apt search l2tp

I.A.N.A. · 02 ноября 2023, 09:50:47

Цитата: yoric от 02 ноября 2023, 09:45:25А сделайте что-то типа
Код Выделить Развернуть
apt search l2tp

А что мне это даст? Сторонних L2TP клиентов я как то не видел ни в одном репозитории.... И потом, зачем городить сторонний клиент ради одного L2TP?

yoric · 02 ноября 2023, 10:53:46

А если так?

Код Выделить

apt search l2tp | grep -i manager

dzhoser · 02 ноября 2023, 11:10:08

Код Выделить

sudo apt install network-manager-l2tp network-manager-l2tp-gnome
l2tpns xl2tpd -y

I.A.N.A. · 02 ноября 2023, 11:18:07

Цитата: dzhoser от 02 ноября 2023, 11:10:08sudo apt install network-manager-l2tp network-manager-l2tp-gnome
l2tpns xl2tpd -y

Да это все установлено. Судя по логу, NM не дает правильных команд для pppd/xl2tpd daemon, потому и шифрование не включается. А руками когда я даю, то демоны берут команду с моих конфигов.

02 ноября 2023, 11:23:20

Цитата: yoric от 02 ноября 2023, 10:53:46А если так?

показывает что установлена версия network-manager-l2tp 1.20.8.-1

dzhoser · 02 ноября 2023, 11:23:41

Покажите лог

I.A.N.A. · 02 ноября 2023, 11:26:19

Вот пожалуйста лог:

Код Выделить

ноя 02 11:00:41 linux NetworkManager[565]: <info>  [1698901241.8014] agent-manager: agent[8002e6f9ebf8c3cc,:1.62/org.freedesktop.nm-applet/1001]: agent registered
ноя 02 11:07:09 linux NetworkManager[565]: <info>  [1698901629.1217] dhcp4 (eno1): state changed new lease, address=172.16.1.108
ноя 02 11:07:24 linux NetworkManager[565]: <info>  [1698901644.0079] vpn[0x55ae987820b0,4e250d8f-1d86-4e6c-bfb2-12c70f143729,"Соединение VPN 1"]: starting l2tp
ноя 02 11:07:24 linux NetworkManager[565]: <info>  [1698901644.0082] audit: op="connection-activate" uuid="4e250d8f-1d86-4e6c-bfb2-12c70f143729" name="Соединение VPN>
ноя 02 11:07:24 linux nm-l2tp-service[1926]: Check port 1701
ноя 02 11:07:24 linux nm-l2tp-service[1926]: xl2tpd started with pid 1945
ноя 02 11:07:24 linux NetworkManager[1945]: xl2tpd[1945]: Not looking for kernel SAref support.
ноя 02 11:07:24 linux NetworkManager[1945]: xl2tpd[1945]: Using l2tp kernel support.
ноя 02 11:07:24 linux NetworkManager[1945]: xl2tpd[1945]: xl2tpd version xl2tpd-1.3.18 started on linux PID:1945
ноя 02 11:07:24 linux NetworkManager[1945]: xl2tpd[1945]: Written by Mark Spencer, Copyright (C) 1998, Adtran, Inc.
ноя 02 11:07:24 linux NetworkManager[1945]: xl2tpd[1945]: Forked by Scott Balmos and David Stipp, (C) 2001
ноя 02 11:07:24 linux NetworkManager[1945]: xl2tpd[1945]: Inherited by Jeff McAdams, (C) 2002
ноя 02 11:07:24 linux NetworkManager[1945]: xl2tpd[1945]: Forked again by Xelerance (www.xelerance.com) (C) 2006-2016
ноя 02 11:07:24 linux NetworkManager[1945]: xl2tpd[1945]: Listening on IP address 0.0.0.0, port 1701
ноя 02 11:07:24 linux NetworkManager[1945]: xl2tpd[1945]: Connecting to host 172.16.1.8, port 1701
ноя 02 11:07:24 linux NetworkManager[1945]: xl2tpd[1945]: Connection established to 172.16.1.8, 1701.  Local: 15019, Remote: 66 (ref=0/0).
ноя 02 11:07:24 linux NetworkManager[1945]: xl2tpd[1945]: Calling on tunnel 15019
ноя 02 11:07:24 linux NetworkManager[1945]: xl2tpd[1945]: Call established with 172.16.1.8, Local: 53526, Remote: 1, Serial: 1 (ref=0/0)
ноя 02 11:07:24 linux NetworkManager[1945]: xl2tpd[1945]: start_pppd: I'm running:
ноя 02 11:07:24 linux NetworkManager[1945]: xl2tpd[1945]: "/usr/sbin/pppd"
ноя 02 11:07:24 linux NetworkManager[1945]: xl2tpd[1945]: "plugin"
ноя 02 11:07:24 linux NetworkManager[1945]: xl2tpd[1945]: "pppol2tp.so"
ноя 02 11:07:24 linux NetworkManager[1945]: xl2tpd[1945]: "pppol2tp"
ноя 02 11:07:24 linux NetworkManager[1945]: xl2tpd[1945]: "7"
ноя 02 11:07:24 linux NetworkManager[1945]: xl2tpd[1945]: "passive"
ноя 02 11:07:24 linux NetworkManager[1945]: xl2tpd[1945]: "nodetach"
ноя 02 11:07:24 linux NetworkManager[1945]: xl2tpd[1945]: ":"
ноя 02 11:07:24 linux NetworkManager[1945]: xl2tpd[1945]: "file"
ноя 02 11:07:24 linux NetworkManager[1945]: xl2tpd[1945]: "/run/nm-l2tp-4e250d8f-1d86-4e6c-bfb2-12c70f143729/ppp-options"
ноя 02 11:07:24 linux pppd[1951]: Plugin pppol2tp.so loaded.
ноя 02 11:07:24 linux pppd[1951]: Plugin /usr/lib/pppd/2.4.9/nm-l2tp-pppd-plugin.so loaded.
ноя 02 11:07:24 linux pppd[1951]: pppd 2.4.9 started by root, uid 0
ноя 02 11:07:24 linux pppd[1951]: Using interface ppp0
ноя 02 11:07:24 linux pppd[1951]: Connect: ppp0 <-->
ноя 02 11:07:24 linux pppd[1951]: Overriding mtu 1500 to 1452
ноя 02 11:07:24 linux pppd[1951]: Overriding mru 1500 to mtu value 1452
ноя 02 11:07:24 linux NetworkManager[565]: <info>  [1698901644.1633] manager: (ppp0): new Ppp device (/org/freedesktop/NetworkManager/Devices/3)
ноя 02 11:07:24 linux pppd[1951]: CHAP authentication succeeded
ноя 02 11:07:24 linux pppd[1951]: LCP terminated by peer (Encryption negotiation rejected)
ноя 02 11:07:24 linux pppd[1951]: Overriding mtu 1500 to 1452
ноя 02 11:07:24 linux pppd[1951]: Overriding mru 1500 to mtu value 1452
ноя 02 11:07:24 linux NetworkManager[1945]: xl2tpd[1945]: control_finish: Connection closed to 172.16.1.8, serial 1 ()
ноя 02 11:07:24 linux NetworkManager[1945]: xl2tpd[1945]: Terminating pppd: sending TERM signal to pid 1951
ноя 02 11:07:24 linux pppd[1951]: Terminating on signal 15
ноя 02 11:07:27 linux pppd[1951]: Connection terminated.
ноя 02 11:07:27 linux NetworkManager[1945]: xl2tpd[1945]: death_handler: Fatal signal 15 received
ноя 02 11:07:27 linux NetworkManager[1945]: xl2tpd[1945]: Connection 66 closed to 172.16.1.8, port 1701 (Server closing)
ноя 02 11:07:27 linux pppd[1951]: Modem hangup
ноя 02 11:07:27 linux pppd[1951]: Exit.

Так происходит, если в микротик сервере выставить что Encryption = Required. Если просто YES то он подключается без шифрования спокойно. А в логе тика рисует при отлупе: <l2tp-nix15>: terminating... - Encryption negotiation rejected