環境:
# uname -a
Linux shrimpwagon 3.16.0-4-AMD64 #1 SMP Debian 3.16.39-1+deb8u1 (2017-02-22) x86_64 GNU/Linux
私はすでにインストールしています:
# apt-get install strongswan xl2tpd
Meraki VPNに接続しようとしています。私はMerakiの技術担当者に話したところ、認証されていないように見えますが、詳細はわかりませんでした。
# ipsec up L2TP-PSK
generating QUICK_MODE request 2711688330 [ HASH SA No ID ID NAT-OA NAT-OA ]
sending packet: from 10.0.0.4[4500] to 50.123.152.194[4500] (252 bytes)
received packet: from 50.123.152.194[4500] to 10.0.0.4[4500] (68 bytes)
parsed INFORMATIONAL_V1 request 2555305796 [ HASH N(NO_PROP) ]
received NO_PROPOSAL_CHOSEN error notify
establishing connection 'L2TP-PSK' failed
ipsec.conf:
config setup
virtual_private=%v4:10.0.0.0/8
# nat_traversal=yes
protostack=auto
oe=off
plutoopts="--interface=eth0"
conn L2TP-PSK
keyexchange=ikev1
ike=aes128-sha1-modp1024,3des-sha1-modp1024!
phase2=ah
phase2alg=aes128-sha1-modp1024,3des-sha1-modp1024!
authby=secret
aggrmode=yes
pfs=no
auto=add
keyingtries=2
# dpddelay=30
# dpdtimeout=120
# dpdaction=clear
# rekey=yes
ikelifetime=8h
keylife=1h
type=transport
left=%defaultroute
# leftnexthop=%defaultroute
# leftprotoport=udp/l2tp
right=50.123.152.194
rightsubnet=10.2.150.0/24
ipsec.secrets:
%any %any : PSK "****"
xl2tpd.conf:
[lac vpn-connection]
lns = 50.123.152.194
;refuse chap = yes
;refuse pap = no
;require authentication = yes
;name = vpn-server
ppp debug = yes
pppoptfile = /etc/ppp/options.l2tpd.client
length bit = yes
options.l2tpd.client:
ipcp-accept-local
ipcp-accept-remote
refuse-eap
require-mschap-v2
noccp
noauth
idle 1800
mtu 1410
mru 1410
defaultroute
usepeerdns
debug
lock
connect-delay 5000
name swelch
password ****
私はこのサイトからほとんどの説明を受けました:
https://www.elastichosts.com/blog/linux-l2tpipsec-vpn-client/
アグレッシブモードにして、ikev1を指定し、ikeアルゴリズムを設定する必要がありました。それを行うと、MXとの通信を開始することができました。しかし、私はこのエラーを今受けており、私は完全に途方に暮れています。
前もって感謝します!
MerakiクライアントVPNとして接続する場合、Strongswanのデフォルトのプロトコルネゴシエーションリストから削除されたプロトコルのみがサポートされるため(これらのプロトコルの一部に対してSWEET32誕生日攻撃が可能であるため)、それらを明示的に指定する必要があります。
ike-scan
をインストールしてMeraki "サーバー" Sudo ipsec stop; Sudo service xl2tpd stop; Sudo ike-scan YOUR.SERVER.IP
に対して実行すると、デフォルトのプロトコルを確認できます。上記のように3des-sha1-modp1024
であると確信していますが、(NetworkManager)で生成されたipsec.confにはphase2
およびphase2alg
行はありませんが、esp
があります。
これが、プロトコルを使用した私の作業構成のスニペットです。
keyexchange=ikev1
ike=3des-sha1-modp1024!
esp=3des-sha1!
補足:CLIを使用しているため、これはおそらく問題ではありませんが、L_TPの_NMプラグインにppa:nm-l2tp/network-manager-l2tp
からのPPAを使用しており、NetworkManager GUIではPhase 1
およびPhase 2
を参照していますが、生成されたipsec構成では、これらは上記のike
およびesp
にマップされます。私はこれを使用しました ブログ投稿
私が最後に食べたときNO_PROPOSAL_CHOSEN
上記のMTU
設定が、システムが想定していたものと一致することを確認する必要がありました。 syslogの追加のエラー行の中にあります。