web-dev-qa-db-ja.com

IPSec over L2TP:NO_PROPOSAL_CHOSENエラー通知を受け取りました

環境:

# uname -a
Linux shrimpwagon 3.16.0-4-AMD64 #1 SMP Debian 3.16.39-1+deb8u1 (2017-02-22) x86_64 GNU/Linux

私はすでにインストールしています:

# apt-get install strongswan xl2tpd

Meraki VPNに接続しようとしています。私はMerakiの技術担当者に話したところ、認証されていないように見えますが、詳細はわかりませんでした。

# ipsec up L2TP-PSK
generating QUICK_MODE request 2711688330 [ HASH SA No ID ID NAT-OA NAT-OA ]
sending packet: from 10.0.0.4[4500] to 50.123.152.194[4500] (252 bytes)
received packet: from 50.123.152.194[4500] to 10.0.0.4[4500] (68 bytes)
parsed INFORMATIONAL_V1 request 2555305796 [ HASH N(NO_PROP) ]
received NO_PROPOSAL_CHOSEN error notify
establishing connection 'L2TP-PSK' failed

ipsec.conf:

config setup
    virtual_private=%v4:10.0.0.0/8
#   nat_traversal=yes
    protostack=auto
    oe=off
    plutoopts="--interface=eth0"

conn L2TP-PSK
    keyexchange=ikev1
    ike=aes128-sha1-modp1024,3des-sha1-modp1024!
    phase2=ah
    phase2alg=aes128-sha1-modp1024,3des-sha1-modp1024!
    authby=secret
    aggrmode=yes
    pfs=no
    auto=add
    keyingtries=2
#   dpddelay=30
#   dpdtimeout=120
#   dpdaction=clear
#   rekey=yes
    ikelifetime=8h
    keylife=1h
    type=transport
    left=%defaultroute
#   leftnexthop=%defaultroute
#   leftprotoport=udp/l2tp
    right=50.123.152.194
    rightsubnet=10.2.150.0/24

ipsec.secrets:

%any %any : PSK "****"

xl2tpd.conf:

[lac vpn-connection]
lns = 50.123.152.194
;refuse chap = yes
;refuse pap = no
;require authentication = yes
;name = vpn-server
ppp debug = yes
pppoptfile = /etc/ppp/options.l2tpd.client
length bit = yes

options.l2tpd.client:

ipcp-accept-local
ipcp-accept-remote
refuse-eap
require-mschap-v2
noccp
noauth
idle 1800
mtu 1410
mru 1410
defaultroute
usepeerdns
debug
lock
connect-delay 5000
name swelch
password ****

私はこのサイトからほとんどの説明を受けました:

https://www.elastichosts.com/blog/linux-l2tpipsec-vpn-client/

アグレッシブモードにして、ikev1を指定し、ikeアルゴリズムを設定する必要がありました。それを行うと、MXとの通信を開始することができました。しかし、私はこのエラーを今受けており、私は完全に途方に暮れています。

前もって感謝します!

networkingvpnipsecopenswanxl2tpd
4
shrimpwagon

MerakiクライアントVPNとして接続する場合、Strongswanのデフォルトのプロトコルネゴシエーションリストから削除されたプロトコルのみがサポートされるため(これらのプロトコルの一部に対してSWEET32誕生日攻撃が可能であるため)、それらを明示的に指定する必要があります。

ike-scanをインストールしてMeraki "サーバー" Sudo ipsec stop; Sudo service xl2tpd stop; Sudo ike-scan YOUR.SERVER.IPに対して実行すると、デフォルトのプロトコルを確認できます。上記のように3des-sha1-modp1024であると確信していますが、(NetworkManager)で生成されたipsec.confにはphase2およびphase2alg行はありませんが、espがあります。

これが、プロトコルを使用した私の作業構成のスニペットです。

  keyexchange=ikev1
  ike=3des-sha1-modp1024!
  esp=3des-sha1!

補足:CLIを使用しているため、これはおそらく問題ではありませんが、L_TPの_NMプラグインにppa:nm-l2tp/network-manager-l2tpからのPPAを使用しており、NetworkManager GUIではPhase 1およびPhase 2を参照していますが、生成されたipsec構成では、これらは上記のikeおよびespにマップされます。私はこれを使用しました ブログ投稿

8
dragon788

私が最後に食べたときNO_PROPOSAL_CHOSEN上記のMTU設定が、システムが想定していたものと一致することを確認する必要がありました。 syslogの追加のエラー行の中にあります。

0
PieroBelgetti