URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 91878
[ Назад ]
Исходное сообщение
"xl2tpd"
Отправлено mozart82 , 04-Июл-11 15:47 
Здраствуйте. Такая проблема.
Железная дорога Украины создала доступ к своей базе через VPN сервер,
с предварительным ключом проверки подлиности.
после запуска xl2tpd с ключом -D
выдает такую ерунду и висит

xl2tpd[3508]: setsockopt recvref[22]: Protocol not available
xl2tpd[3508]: This binary does not support kernel L2TP.
xl2tpd[3508]: xl2tpd version xl2tpd-1.2.6 started on luser PID:3508
xl2tpd[3508]: Written by Mark Spencer, Copyright (C) 1998, Adtran, Inc.
xl2tpd[3508]: Forked by Scott Balmos and David Stipp, (C) 2001
xl2tpd[3508]: Inherited by Jeff McAdams, (C) 2002
xl2tpd[3508]: Forked again by Xelerance (www.xelerance.com) (C) 2006
xl2tpd[3508]: Listening on IP address 0.0.0.0, port 1052
xl2tpd[3508]: Connecting to host vpn2.uz.gov.ua, port 1701
xl2tpd[3508]: Maximum retries exceeded for tunnel 3193.  Closing.

Содержание
Сообщения в этом обсуждении
"xl2tpd"
Отправлено DeadLoco , 04-Июл-11 22:13 
> выдает такую ерунду и висит
> xl2tpd[3508]: setsockopt recvref[22]: Protocol not available
> xl2tpd[3508]: This binary does not support kernel L2TP.
> xl2tpd[3508]: xl2tpd version xl2tpd-1.2.6 started on luser PID:3508
> xl2tpd[3508]: Listening on IP address 0.0.0.0, port 1052
> xl2tpd[3508]: Connecting to host vpn2.uz.gov.ua, port 1701
> xl2tpd[3508]: Maximum retries exceeded for tunnel 3193.  Closing.

Какое именно слово перевести?

"xl2tpd"
Отправлено mozart82 , 05-Июл-11 08:30 
что значить последняя строчка???
почему не создается тунель??
(при команде "ifconfig" нового интерфейса не видать)
извините может неправильно чего нибудь пишу!!!
СПАСИБО!!


"xl2tpd"
Отправлено Loly , 05-Июл-11 10:47 
Значит что достигнуто максимальное количество попыток подключения.

Вы бы конфиги показали.

А сервер:порт доступен? Может он у Вас заблокирован, или со стороны сервера ведётся фильтрация.

"xl2tpd"
Отправлено mozart82 , 05-Июл-11 11:25 
а вот и они........

options.xl2tpd
nobsdcomp
nodeflate
noaccomp
nopcomp
nodefaultroute
novj
noproxyarp
asyncmap 0
nopersist
lcp-echo-failure 30
lcp-echo-interval 5
ipcp-accept-local
ipcp-accept-remote
mtu 1460
mru 1460
connect /bin/true
maxfail 0
logfile /var/log/pppd
lock

xl2tpd.conf

[global]
port = 1052

[lac connect]
lns = vpn2.uz.gov.ua
redial = yes
require chap = yes
require pap = no
require authentication = no
ppp debug = no
pppoptfile = /etc/ppp/options.xl2tpd
autodial = yes
name = vyslisgosp-2

"xl2tpd"
Отправлено DeadLoco , 05-Июл-11 11:54 
> что значить последняя строчка???
> почему не создается тунель??

Последняя строчка - это уже результат. А причина - в первых двух строчках:

    xl2tpd[3508]: setsockopt recvref[22]: Protocol not available
    xl2tpd[3508]: This binary does not support kernel L2TP.

Протокол недоступен, этот бинарник не поддерживает ядреного Л2ТП. После надцати попыток поднять ядреный Л2ТП на ядре, где его нет, он отваливается.

Смените дистр.

"xl2tpd"
Отправлено mozart82 , 05-Июл-11 11:56 
посоветуйте пожалуйста какой вибрать...
у меня ноут "ACER ASPIRE 5552".
"xl2tpd"
Отправлено DeadLoco , 05-Июл-11 12:04 
> посоветуйте пожалуйста какой вибрать...
> у меня ноут "ACER ASPIRE 5552".

ОМГ. А линкус у вас какой?

"xl2tpd"
Отправлено DeadLoco , 05-Июл-11 12:07 
> посоветуйте пожалуйста какой вибрать...
> у меня ноут "ACER ASPIRE 5552".

Кстати, Л2ТП можно поднять прямо из винды, у нее есть клиент.

"xl2tpd"
Отправлено mozart82 , 05-Июл-11 12:29 
из винды можна но нада лицензия.
LINUX MINT.
"xl2tpd"
Отправлено DeadLoco , 05-Июл-11 12:50 
> LINUX MINT.

Openl2tp работает в минте. То-есть, сменить можно не дистр, а клиентскую часть.

"xl2tpd"
Отправлено mozart82 , 05-Июл-11 14:04 
я только начинаю???
если можна по подробнее про клиентскую часть

"xl2tpd"
Отправлено DeadLoco , 05-Июл-11 14:21 
> я только начинаю???
> если можна по подробнее про клиентскую часть

http://lmgtfy.com/?q=openl2tp+ubuntu

"xl2tpd"
Отправлено Loly , 05-Июл-11 15:30 
>> что значить последняя строчка???
>> почему не создается тунель??
> Последняя строчка - это уже результат. А причина - в первых двух
> строчках:
>     xl2tpd[3508]: setsockopt recvref[22]: Protocol not available
>     xl2tpd[3508]: This binary does not support kernel L2TP.
> Протокол недоступен, этот бинарник не поддерживает ядреного Л2ТП. После надцати попыток
> поднять ядреный Л2ТП на ядре, где его нет, он отваливается.
> Смените дистр.

Не вводите людей в заблуждение то что бинарник не поддерживает ядерного L2TP ничего в данном случае не решает.


ТС, включите опции дебага в xl2tpd.conf (ppp debug = yes) и options.xl2tpd (debug).

"xl2tpd"
Отправлено Loly , 05-Июл-11 15:40 
UPD:

Если вы отсюда http:// vpninfo.uz.gov.ua
То Вам надо знать что в Mint-e StrongSwan а не OpenSwan (небольшое отличие в конфиг файлах)

Для того что бы поднимать xl2tpd Вы должны проверить состояние IPSec "транспорта".

"xl2tpd"
Отправлено mozart82 , 05-Июл-11 15:59 
уважаемый Loly я пока не совсем понимаю....
раскажите поподробнее про то как проверить состояние IPSEC, как он запускаетса.
насколько я понимаю при минимальном опыте - сначала надо создать тунель при помощи xL2TPD.
буду очень благодарен за помощ.
"xl2tpd"
Отправлено Loly , 06-Июл-11 03:01 
> уважаемый Loly я пока не совсем понимаю....
> раскажите поподробнее про то как проверить состояние IPSEC, как он запускаетса.
> насколько я понимаю при минимальном опыте - сначала надо создать тунель при
> помощи xL2TPD.
> буду очень благодарен за помощ.

Для начала надо поднять IPSec транспорт. Для этого нужен например strongswan (установить из репов дистра) ipsec start, ipsec status (поиск Вам поможет). А далее запускаете xl2tpd.

"xl2tpd"
Отправлено mozart82 , 06-Июл-11 09:02 
извини Loly наверное надоел....

ipsec.conf
# /etc/ipsec/ipsec.conf - vpn2.uz.gov.ua Openswan IPsec configuration file
# This file was created by openswan-vpn2uz.sh script
#
# Manual:     ipsec.conf.5

# conforms to second version of ipsec.conf specification
version 2.0

# basic configuration
config setup
    # interfaces="ipsec0=eth0"
    klipsdebug=none
    plutodebug=none
    # NAT-TRAVERSAL support, see README.NAT-Traversal
    nat_traversal=yes
    # enable this if you see "failed to find any available worker"
    nhelpers=0

# vpn2uz xl2tp
conn vpn2uz-xl2tp-transport
    type=transport
    left=192.168.10.101
    leftnexthop=%defaultroute
    leftprotoport=17/0
    right=vpn2.uz.gov.ua
    rightprotoport=17/1701
    keyexchange=ike
    ike=3des-sha1
    esp=3des
    pfs=yes
    auto=start
    authby=secret

#Disable Opportunistic Encryption
include /etc/ipsec/ipsec.d/examples/no_oe.conf

запуск IPSEC
IPSEC START

Starting strongSwan 4.4.0 IPsec [starter]...
/etc/ipsec.conf:35: include files found no matches [/etc/ipsec/ipsec.d/examples/no_oe.conf]
unable to start strongSwan -- fatal errors in config

Закоментировал последнюю строчку. и опят запуск ----

Starting strongSwan 4.4.0 IPsec [starter]...
/etc/ipsec.conf:17: unknown keyword 'nhelpers' [0]
unable to start strongSwan -- fatal errors in config


закоментровал снова. и запустил.

Starting strongSwan 4.4.0 IPsec [starter]...
insmod /lib/modules/2.6.35-22-generic/kernel/net/ipv4/ah4.ko
insmod /lib/modules/2.6.35-22-generic/kernel/net/ipv4/esp4.ko
insmod /lib/modules/2.6.35-22-generic/kernel/net/xfrm/xfrm_ipcomp.ko
insmod /lib/modules/2.6.35-22-generic/kernel/net/ipv4/ipcomp.ko
insmod /lib/modules/2.6.35-22-generic/kernel/net/ipv4/tunnel4.ko
insmod /lib/modules/2.6.35-22-generic/kernel/net/ipv4/xfrm4_tunnel.ko
insmod /lib/modules/2.6.35-22-generic/kernel/net/xfrm/xfrm_user.ko

после чего IPSEC STATUS===

000 "vpn2uz-xl2tp-transport": 192.168.10.101[192.168.10.101]:17/0...195.149.70.70[195.149.70.70]:17/1701; unrouted; eroute owner: #0
000 "vpn2uz-xl2tp-transport":   newest ISAKMP SA: #0; newest IPsec SA: #0;
000
000 #1: "vpn2uz-xl2tp-transport" STATE_MAIN_I1 (sent MI1, expecting MR1); EVENT_RETRANSMIT in 15s
000 #1: pending Phase 2 for "vpn2uz-xl2tp-transport" replacing #0
000
Security Associations:
  none

и от своей беспомочности начинают кипеть мозги ()*?:
одна надежда на ВАС!!!!

лирика. на серевере настроен NAT + MASQUERADING.
пропускается все в одну  и другую сторону через 3G модем.
с ВИДОВССА все работает??


"xl2tpd"
Отправлено xandry , 18-Фев-13 20:26 
> с ВИДОВССА все работает??

Дак вам видней должно быть.

"xl2tpd"
Отправлено yurybx , 05-Мрт-19 18:58 
Прошу прощение за некропост. Но я с осени ломаю голову над этой же проблемой. Железная дорога Украины даже подробную инструкцию опубликовала (правда под OpenSUSE):
http://vpninfo.uz.gov.ua/instructions/linux/opensuse/13.2/
Соединение устанавливается, мой ppp0 получает IP-адрес, а дальше charon делает четыре раза "sending keep alive", после чего xl2tpd говорит "Maximum retries exceeded for tunnel 19104.  Closing.".
При этом из-под Windows в этой же сети (через этот же NAT) соединение работает нормально. Как понять, где собака зарыта? Кому-нибудь удалось подключить какой-нибудь unix-like к Железной Дороге Украины?
"xl2tpd"
Отправлено yurybx , 18-Мрт-19 11:33 
Разобрался!
Проблема была в том, что NG-интерфейс получал "правый" IP-адрес, совпадающий с публичным адресом L2TP/IPSec-сервера. Из-за этого ломалась маршрутизация для IPSec пакетов. Мне так и не удалось заставить MPD5 получать приватный правый IP-адрес, как и положено: он либо получает публичный, либо отваливается с ошибкой "parameter negotiation failed".
Короче, проблема решилась установкой CentOS и поднятием XL2TPd+LibreSwan.
"xl2tpd"
Отправлено svat , 20-Мрт-19 17:06 
> Кому-нибудь удалось подключить
> какой-нибудь unix-like к Железной Дороге Украины?

уже - да. с пом. костыля, правда.

Судя по результатам гугления, с понедельника шел тем же путем, что и вы до этого, практически с теми же результатами.

Сегодня получилось на конфигурации
FreeBSD 11.2 + strongSwan + mpd5 + up-script


"xl2tpd"
Отправлено yurybx , 20-Мрт-19 21:53 
А как Вам удалось добиться, чтобы MPD5 присваивал приватный IP-адрес для правой стороны NG-интерфейса? У меня он напрочь отказывается это делать. Можете поделиться конфигурацией MPD?

> Сегодня получилось на конфигурации
> FreeBSD 11.2 + strongSwan + mpd5 + up-script

"xl2tpd"
Отправлено svat , 21-Мрт-19 01:19 
> А как Вам удалось добиться, чтобы MPD5 присваивал приватный IP-адрес для правой
> стороны NG-интерфейса? У меня он напрочь отказывается это делать. Можете поделиться
> конфигурацией MPD?

1) не удалось
2) поэтому, как и писал, подставлен костыль в виде  up-script, который сразу же прибивает автосозданный маршрут на кривую правую сторону, переназначает на нужное значение (с пом. ifconfig ng0), основываясь на эмпирическом знании, что с той стороны всегда 10.0.0.1 в качестве конца туннеля.


PS. и конфиг ipsec.conf пришлось немного подкрутить по сравнению с вашим, т.к. у меня харон не передоговаривался в следующий раз после первого же разрыва\отключения L2TP, при котором очевидно и ipsec сбрасывался той стороной. (auto=route)

PPS. не забываем NAT-ить клиентов в туннель


mpd.conf:

L2TP_client:
        create bundle static B1
        set iface up-script /usr/local/etc/mpd5/l2tp-up.sh
        set iface down-script /usr/local/etc/mpd5/l2tp-down.sh
...

l2tp-up.sh:
#!/bin/sh

# $1 - interface
# $2 - proto
# $3 - local-ip
# $4 - remote-ip
# $5 - authname

DynamicLocalIP=$3
DynamicRemoteIP=$4        # Bad value
StaticRemoteIP="10.0.0.1" # good value - UZ VPN-hub IP
Today=`date "+%Y-%m-%d"`
TimeNow=`date "+%H:%M:%S"`

StaticRoutes="
10.10.0.1
10.5.114.18
10.1.100.58
10.1.100.4
10.1.100.5
10.1.100.26
10.1.76.34
10.1.180.37
10.3.13.41
"

route delete $DynamicRemoteIP
ifconfig ng0 $DynamicLocalIP  $StaticRemoteIP

echo "====================================================================="
echo $Today $TimeNow -L2TP-Up-  >> /var/log/vpn.log
echo "Adding static routes: " >> /var/log/vpn.log

for i in ${StaticRoutes}
do
  route add -host $i $StaticRemoteIP >> /var/log/vpn.log

done

echo Up-Script: RemoteIP = $DynamicRemoteIP overrided with static IP = $StaticRemoteIP >> /var/log/vpn.log