tzabbi
Goto Top

Ubtuntu 20.10 mit UdmPro L2tp VPN Server verbinden

Hallo liebe Administratoren,

ich habe eine kleine Frage. Bei mir zuhause steht eine Ubiquiti Dream Machine Pro, auf der ich den L2tp VPN Server aktiviert habe und mich über Handy und Windows Laptop zuhause einwählen kann. Jetzt habe ich noch ein Ubuntu (Version 20.10) Notebook und möchte mich damit auch in mein Heimnetzwerk verbinden, scheitere jedoch an der Einwahl, durch eventuelle Fehlkonfiguration meinerseits.

Anbei noch meine Konfiguration, eventuell hat jemand von euch eine Idee wo mein Fehler liegt. Passwörter und Benutzernamen, sowie richtige IP habe ich schon mehrmals überprüft.

Vielen Dank für jede Anregung.
tzabbi

77eeb41a-0b36-40e2-be0c-e168f268766b
e7b68deb-d6b7-4022-84c7-9ba42281809c
559d3a12-7092-4479-82f6-b7fec2a0773d
c38218df-479f-4265-9953-2b92ea50f6d4

Content-ID: 665167

Url: https://administrator.de/contentid/665167

Ausgedruckt am: 19.12.2024 um 08:12 Uhr

147669
147669 26.03.2021 aktualisiert um 17:33:31 Uhr
Goto Top
Moin.
Leider liefern die Screenshots zu wenig "essentielle" Infos, außerdem fehlen sämtliche Infos zu freigegebenen Ports 500/4500UDP 1701TCP und Proto 50(ESP) und für das Profil aktivierten Phase1 und Phase2 Ciphers, einfach mal in die Strongswan-Config der UDM schauen dann hast du es schwarz auf weiß. Und überprüfen ob die externe ip evt. im CGN NAT Bereich liegt 100.64.0.0/10, dann ist das Vorhaben ja sowieso zwecklos.

Wie immer bei sowas als erste Anlaufstelle: LOGs checken, und hier posten!
https://help.ui.com/hc/en-us/articles/360002668854-UniFi-UDM-USG-Verifyi ...
Damit kann man in 99,99% der Fälle die Ursache sofort klären warum die Verbindung nicht erfolgreich aufgebaut wird, alles andere ist Glaskugel polieren

Gruß SK
aqui
aqui 26.03.2021 aktualisiert um 23:54:55 Uhr
Goto Top
Wird vermutlich am 3DES liegen. Das ist mittlerweile tiefstes Neandertal was Verschlüsselung anbetrifft und von fast keinem Endgerät mehr supportet. Die UBQT Gurke wird das sicher auch nicht mehr supporten, da es schon lange als unsicher gilt.
Setze P1 und P2 auf AES 128 oder AES 256 mit SHA1 (ist zwingend bei L2TP !) und modp 1024 das sollte vermutlich das Problem sofort lösen.
Weitere Infos zu dem Thema auch hier:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Scheitern am IPsec VPN mit MikroTik
tzabbi
tzabbi 05.04.2021 um 19:17:52 Uhr
Goto Top
entschuldigt bitte die späte Antwort. Ich hatte die letzen Tage leider keine Zeit an den Rechner zu kommen. Ich werde mir das ganze die nächste Woche anschauen und entsprechend antworten. Ich danke euch beiden schon vielmals im Vorraus und melde mich

Gruß
tzabbi
tzabbi
tzabbi 09.04.2021 um 11:36:36 Uhr
Goto Top
Hallo aqui,

leider hat es das Problem nicht gelöst. Ich muss aber auch dazu sagen, dass ich eine Router Kaskade (dank Magenta TV) mit Fritzbox und hinter der Fritzbox ist meine Udm-Pro. Ich habe die Verschlüsselung wie du geschrieben hast, angepasst (P1: aes128-sha1-modp1024 und P2: aes128-sha1bzw mit jeweils aes256) und es kommt zum gleichen Fehler. Ubuntu meldet mir den Fehler: "Activation of network connection failed".

Ich habe mir auch die beiden Verlinkungen angesehen und die entsprechenden Ports geprüft. Ist alles soweit eingestellt, wie es sein muss, ich habe die Udm-Pro als exposed host in der Fritzbox eingestellt.

Hast du noch eine Idee?

Gruß
tzabbi
tzabbi
tzabbi 09.04.2021 um 11:53:36 Uhr
Goto Top
Hallo SK,

die Udm-Pro steht hinter einer Fritzbox und in der Fritze als exposed host konfiguriert. CGN Nat kann ich ausschließen, da ich eine VPN-Verbindung mit meinem Handy aufbauen kann.

Die Logs kann ich erst heute Abend senden.

Vielen Dank und Gruß
tzabbi
tzabbi
tzabbi 09.04.2021 um 17:35:37 Uhr
Goto Top
Zitat von @147669:

Moin.
Leider liefern die Screenshots zu wenig "essentielle" Infos, außerdem fehlen sämtliche Infos zu freigegebenen Ports 500/4500UDP 1701TCP und Proto 50(ESP) und für das Profil aktivierten Phase1 und Phase2 Ciphers, einfach mal in die Strongswan-Config der UDM schauen dann hast du es schwarz auf weiß. Und überprüfen ob die externe ip evt. im CGN NAT Bereich liegt 100.64.0.0/10, dann ist das Vorhaben ja sowieso zwecklos.

Wie immer bei sowas als erste Anlaufstelle: LOGs checken, und hier posten!
https://help.ui.com/hc/en-us/articles/360002668854-UniFi-UDM-USG-Verifyi ...
Damit kann man in 99,99% der Fälle die Ursache sofort klären warum die Verbindung nicht erfolgreich aufgebaut wird, alles andere ist Glaskugel polieren

Gruß SK

Hallo SK,

anbei die Logs, die ich per swanctl --log generiert habe^^

07[NET] received packet: from 80.187.xxx.xxx[500] to 192.168.xxx.xxx[500] (416 bytes)
07[ENC] parsed ID_PROT request 0 [ SA V V V V V V ]
07[IKE] received FRAGMENTATION vendor ID
07[IKE] received DPD vendor ID
07[IKE] received NAT-T (RFC 3947) vendor ID
07[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
07[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
07[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID
07[IKE] 80.187.xxx.xxx is initiating a Main Mode IKE_SA
07[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
07[ENC] generating ID_PROT response 0 [ SA V V V V ]
07[NET] sending packet: from 192.168.xxx.xxx[500] to 80.187.xxx.xxx[500] (160 bytes)
09[NET] received packet: from 80.187.xxx.xxx[500] to 192.168.xxx.xxx[500] (396 bytes)
09[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]
09[IKE] local host is behind NAT, sending keep alives
09[IKE] remote host is behind NAT
09[ENC] generating ID_PROT response 0 [ KE No NAT-D NAT-D ]
09[NET] sending packet: from 192.168.xxx.xxx[500] to 80.187.xxx.xxx[500] (396 bytes)
11[NET] received packet: from 80.187.xxx.xxx[30807] to 192.168.xxx.xxx[4500] (76 bytes)
11[ENC] parsed ID_PROT request 0 [ ID HASH ]
11[CFG] looking for pre-shared key peer configs matching 192.168.xxx.xxx...80.187.xxx.xxx[172.20.xxx.xxx]
11[CFG] selected peer config "lns-l2tp-server"  
11[IKE] IKE_SA lns-l2tp-server[88] established between 192.168.xxx.xxx[192.168.xxx.xxx]...80.187.xxx.xxx[172.20.xxx.xxx]
11[IKE] scheduling reauthentication in 2833s
11[IKE] maximum IKE_SA lifetime 3373s
11[ENC] generating ID_PROT response 0 [ ID HASH ]
11[NET] sending packet: from 192.168.xxx.xxx[4500] to 80.187.xxx.xxx[30807] (92 bytes)
06[NET] received packet: from 80.187.xxx.xxx[30807] to 192.168.xxx.xxx[4500] (76 bytes)
06[ENC] invalid HASH_V1 payload length, decryption failed?
06[ENC] could not decrypt payloads
06[IKE] message parsing failed
06[IKE] ignore malformed INFORMATIONAL request
06[IKE] INFORMATIONAL_V1 request with message ID 4219949814 processing failed
07[NET] received packet: from 80.187.xxx.xxx[30807] to 192.168.xxx.xxx[4500] (76 bytes)
07[IKE] received retransmit of request with ID 0, retransmitting response
07[NET] sending packet: from 192.168.xxx.xxx[4500] to 80.187.xxx.xxx[30807] (92 bytes)
14[NET] received packet: from 80.187.xxx.xxx[30807] to 192.168.xxx.xxx[4500] (76 bytes)
14[ENC] invalid HASH_V1 payload length, decryption failed?
14[ENC] could not decrypt payloads
14[IKE] message parsing failed
14[IKE] ignore malformed INFORMATIONAL request
14[IKE] INFORMATIONAL_V1 request with message ID 1845749161 processing failed
15[NET] received packet: from 80.187.xxx.xxx[30807] to 192.168.xxx.xxx[4500] (76 bytes)
15[IKE] received retransmit of request with ID 0, retransmitting response
15[NET] sending packet: from 192.168.xxx.xxx[4500] to 80.187.xxx.xxx[30807] (92 bytes)
08[NET] received packet: from 80.187.xxx.xxx[30807] to 192.168.xxx.xxx[4500] (76 bytes)
08[ENC] invalid HASH_V1 payload length, decryption failed?
08[ENC] could not decrypt payloads
08[IKE] message parsing failed
08[IKE] ignore malformed INFORMATIONAL request
08[IKE] INFORMATIONAL_V1 request with message ID 116934772 processing failed
04[NET] received packet: from 80.187.xxx.xxx[30807] to 192.168.xxx.xxx[4500] (76 bytes)
04[IKE] received retransmit of request with ID 0, retransmitting response
04[NET] sending packet: from 192.168.xxx.xxx[4500] to 80.187.xxx.xxx[30807] (92 bytes)
07[NET] received packet: from 80.187.xxx.xxx[30807] to 192.168.xxx.xxx[4500] (76 bytes)
07[ENC] invalid HASH_V1 payload length, decryption failed?
07[ENC] could not decrypt payloads
07[IKE] message parsing failed
07[IKE] ignore malformed INFORMATIONAL request
07[IKE] INFORMATIONAL_V1 request with message ID 2012024106 processing failed
13[NET] received packet: from 80.187.xxx.xxx[30807] to 192.168.xxx.xxx[4500] (76 bytes)
13[IKE] received retransmit of request with ID 0, retransmitting response
13[NET] sending packet: from 192.168.xxx.xxx[4500] to 80.187.xxx.xxx[30807] (92 bytes)
15[NET] received packet: from 80.187.xxx.xxx[30807] to 192.168.xxx.xxx[4500] (76 bytes)
15[ENC] invalid HASH_V1 payload length, decryption failed?
15[ENC] could not decrypt payloads
15[IKE] message parsing failed
15[IKE] ignore malformed INFORMATIONAL request
15[IKE] INFORMATIONAL_V1 request with message ID 3947494972 processing failed
13[NET] received packet: from 80.187.xxx.xxx[30807] to 192.168.xxx.xxx[4500] (76 bytes)
13[IKE] received retransmit of request with ID 0, retransmitting response
13[NET] sending packet: from 192.168.xxx.xxx[4500] to 80.187.xxx.xxx[30807] (92 bytes)
06[NET] received packet: from 80.187.xxx.xxx[30807] to 192.168.xxx.xxx[4500] (76 bytes)
06[ENC] invalid HASH_V1 payload length, decryption failed?
06[ENC] could not decrypt payloads
06[IKE] message parsing failed
06[IKE] ignore malformed INFORMATIONAL request
06[IKE] INFORMATIONAL_V1 request with message ID 2154202718 processing failed
12[IKE] sending DPD request
12[ENC] generating INFORMATIONAL_V1 request 3432380281 [ HASH N(DPD) ]
12[NET] sending packet: from 192.168.xxx.xxx[4500] to 80.187.xxx.xxx[30807] (108 bytes)
14[NET] received packet: from 80.187.xxx.xxx[30807] to 192.168.xxx.xxx[4500] (76 bytes)
14[IKE] received retransmit of request with ID 0, retransmitting response
14[NET] sending packet: from 192.168.xxx.xxx[4500] to 80.187.xxx.xxx[30807] (92 bytes)
12[NET] received packet: from 80.187.xxx.xxx[30807] to 192.168.xxx.xxx[4500] (76 bytes)
12[ENC] invalid HASH_V1 payload length, decryption failed?
12[ENC] could not decrypt payloads
12[IKE] message parsing failed
12[IKE] ignore malformed INFORMATIONAL request
12[IKE] INFORMATIONAL_V1 request with message ID 427493045 processing failed

Viele Grüße
tzabbi
aqui
aqui 09.04.2021 um 18:01:15 Uhr
Goto Top
Das bringt deinen Tunnel zu Fall:
invalid HASH_V1 payload length, decryption failed?
Es gibt zig Lösungs Threads dazu wenn man danach sucht:
https://community.ui.com/questions/L2TP-over-IPsec-VPN-server-issue-with ...
https://wiki.strongswan.org/issues/3009
https://wiki.strongswan.org/issues/3322
usw. usw.
tzabbi
tzabbi 10.04.2021 um 08:19:35 Uhr
Goto Top
Hallo aqui,

so wie ich das verstehe liegt es an einem fehlerhaften psk bzw dem pre shared secret. Deshalb habe ich diese in "admin123" und "test123" geändert, jedoch ohne Erfolg.

Gruß
tzabbi
aqui
aqui 10.04.2021 um 08:35:32 Uhr
Goto Top
Was gibt die "Dream Machine" denn im L2TP Log aus ?
tzabbi
tzabbi 10.04.2021 aktualisiert um 11:32:22 Uhr
Goto Top
Zitat von @aqui:

Was gibt die "Dream Machine" denn im L2TP Log aus ?


08[NET] received packet: from 80.187.xxx.xxx[500] to 192.168.xxx.xxx[500] (204 bytes)
08[ENC] parsed ID_PROT request 0 [ SA V V V V V V ]
08[IKE] received FRAGMENTATION vendor ID
08[IKE] received DPD vendor ID
08[IKE] received NAT-T (RFC 3947) vendor ID
08[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
08[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
08[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID
08[IKE] 80.187.xxx.xxx is initiating a Main Mode IKE_SA
08[CFG] selected proposal: IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
08[ENC] generating ID_PROT response 0 [ SA V V V V ]
08[NET] sending packet: from 192.168.xxx.xxx[500] to 80.187.xxx.xxx[500] (160 bytes)
09[NET] received packet: from 80.187.xxx.xxx[500] to 192.168.xxx.xxx[500] (372 bytes)
09[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]
09[IKE] local host is behind NAT, sending keep alives
09[IKE] remote host is behind NAT
09[ENC] generating ID_PROT response 0 [ KE No NAT-D NAT-D ]
09[NET] sending packet: from 192.168.xxx.xxx[500] to 80.187.xxx.xxx[500] (372 bytes)
14[NET] received packet: from 80.187.xxx.xxx[1995] to 192.168.xxx.xxx[4500] (76 bytes)
14[ENC] invalid ID_V1 payload length, decryption failed?
14[ENC] could not decrypt payloads
14[IKE] message parsing failed
14[ENC] generating INFORMATIONAL_V1 request 2882667085 [ HASH N(PLD_MAL) ]
14[NET] sending packet: from 192.168.xxx.xxx[500] to 80.187.xxx.xxx[500] (76 bytes)
14[IKE] ID_PROT request with message ID 0 processing failed
09[NET] received packet: from 80.187.xxx.xxx[1995] to 192.168.xxx.xxx[4500] (76 bytes)
09[ENC] invalid ID_V1 payload length, decryption failed?
09[ENC] could not decrypt payloads
09[IKE] message parsing failed
09[ENC] generating INFORMATIONAL_V1 request 996440690 [ HASH N(PLD_MAL) ]
09[NET] sending packet: from 192.168.xxx.xxx[500] to 80.187.xxx.xxx[500] (76 bytes)
09[IKE] ID_PROT request with message ID 0 processing failed
14[NET] received packet: from 80.187.xxx.xxx[1995] to 192.168.xxx.xxx[4500] (76 bytes)
14[ENC] invalid ID_V1 payload length, decryption failed?
14[ENC] could not decrypt payloads
14[IKE] message parsing failed
14[ENC] generating INFORMATIONAL_V1 request 593963488 [ HASH N(PLD_MAL) ]
14[NET] sending packet: from 192.168.xxx.xxx[500] to 80.187.xxx.xxx[500] (76 bytes)
14[IKE] ID_PROT request with message ID 0 processing failed
06[NET] received packet: from 80.187.xxx.xxx[1995] to 192.168.xxx.xxx[4500] (76 bytes)
06[ENC] invalid ID_V1 payload length, decryption failed?
06[ENC] could not decrypt payloads
06[IKE] message parsing failed
06[ENC] generating INFORMATIONAL_V1 request 3251225542 [ HASH N(PLD_MAL) ]
06[NET] sending packet: from 192.168.xxx.xxx[500] to 80.187.xxx.xxx[500] (76 bytes)
06[IKE] ID_PROT request with message ID 0 processing failed
08[NET] received packet: from 80.187.xxx.xxx[1995] to 192.168.xxx.xxx[4500] (76 bytes)
08[ENC] invalid ID_V1 payload length, decryption failed?
08[ENC] could not decrypt payloads
08[IKE] message parsing failed
08[ENC] generating INFORMATIONAL_V1 request 1849399790 [ HASH N(PLD_MAL) ]
08[NET] sending packet: from 192.168.xxx.xxx[500] to 80.187.xxx.xxx[500] (76 bytes)
08[IKE] ID_PROT request with message ID 0 processing failed
06[NET] received packet: from 80.187.xxx.xxx[1995] to 192.168.xxx.xxx[4500] (76 bytes)
06[ENC] invalid ID_V1 payload length, decryption failed?
06[ENC] could not decrypt payloads
06[IKE] message parsing failed
06[ENC] generating INFORMATIONAL_V1 request 2574541636 [ HASH N(PLD_MAL) ]
06[NET] sending packet: from 192.168.xxx.xxx[500] to 80.187.xxx.xxx[500] (76 bytes)
06[IKE] ID_PROT request with message ID 0 processing failed
09[NET] received packet: from 80.187.xxx.xxx[1995] to 192.168.xxx.xxx[4500] (76 bytes)
09[ENC] invalid ID_V1 payload length, decryption failed?
09[ENC] could not decrypt payloads
09[IKE] message parsing failed
09[ENC] generating INFORMATIONAL_V1 request 1828924748 [ HASH N(PLD_MAL) ]
09[NET] sending packet: from 192.168.xxx.xxx[500] to 80.187.xxx.xxx[500] (76 bytes)
09[IKE] ID_PROT request with message ID 0 processing failed

Meine Config in P1: aes128-sh1-modp2048 und in P2: aes128-sha1

ich habe auch mal die settings aus dem Log für das Handy übernommen: aes256-sha2-modp2048 sowie aes256-sha2 aber auch ohne erfolg.

Ansonsten alles so wie in den Bildern oben zu sehen. Über mein Handy klappt die Verbindung.
aqui
aqui 10.04.2021 aktualisiert um 18:25:21 Uhr
Goto Top
Sorry, ich meinte die andere Seite, sprich den StrongSwan !
Das ist ja immer noch die "invalid ID_V1 payload length, decryption failed?" Fehlermeldung.
Da wäre es mal ganz interessant was StrongSwan da sagt ?! Ggf. auch mal die StrongSwan Konfig Datei hier posten.
https://wiki.strongswan.org/projects/strongswan/wiki/Loggerconfiguration
und in P2: aes128-sha1
In P2 darfst du bei L2TP nur AES128 und SHA1 machen.
Denk dran das du in der P2 kein PFS machen darfst !!! PFS muss dort zwingend deaktiviert sein !
tzabbi
tzabbi 13.04.2021 aktualisiert um 17:30:58 Uhr
Goto Top
Denk dran das du in der P2 kein PFS machen darfst !!! PFS muss dort zwingend deaktiviert sein !

Ja habe ich deaktiviert aber auch da ging es nicht.


Da wäre es mal ganz interessant was StrongSwan da sagt ?!

Wo meinst du auf der UDM Pro oder dem Ubuntu Client?
aqui
aqui 14.04.2021 aktualisiert um 13:35:53 Uhr
Goto Top
UDM hast du ja oben schon gepostet also ist die Antwort doch klar... face-wink

Ich checke das mal mit einem StrongSwan auf einem Debian/RasPi und einem L2TP Server auf einer pfSense und werde berichten.
tzabbi
tzabbi 17.04.2021 um 17:52:13 Uhr
Goto Top
Ja ich dachte auch auf meinem Ubuntu, aber ich hab überhaupt nichts in der Richtung auf dem Ubuntu System gefunden, deshalb die sehr dumme nachfrage, entschuldige. Ich werde nochmal nachschauen, nicht das ich etwas übersehen habe.
aqui
aqui 18.04.2021 um 14:02:35 Uhr
Goto Top
Hier ist es recht gut erklärt:
https://jeanbruenn.info/2017/04/13/strongswan-l2tp-using-xl2tpd/
Checke das grad auf einem Debian an einem Mikrotik_L2TP_VPN_Server.
aqui
aqui 22.04.2021, aktualisiert am 27.01.2022 um 11:02:21 Uhr
Goto Top

Hier die funktionierende Lösung mit der CLI Lösung ohne X-Windows GUI !! Mit Windows GUI gibt es einen grafischen L2TP Client der einfach per Mausklick einzurichten ist wie z.B. hier unter Ubuntu bzw. allen Debian basierten Distros.
Getestet mit Ubuntu und Debian auf einem L2TP Server Mikrotik und Windows. Rennt mit allen 3 L2TP Servern fehlerfrei !

back-to-top1.) L2TP Komponenten aus dem Repository installieren:


  • apt install strongswan
  • apt install xl2tpd

back-to-top2.) Strongswan einrichten:


Hier sind 2 Dateien relevant:
  • /etc/ipsec.conf = IPsec Verbindungs Konfig
  • /etc/ipsec.secret = PSKs
IPsec Konfig Datei (/etc/ipsec.conf):
 conn l2tp
  ikelifetime=60m
  keylife=20m
  rekeymargin=3m
  keyexchange=ikev1
  authby=secret
  ike=aes128-sha1-modp2048
  esp=aes128-sha1-modp2048
  auto=add
  type=transport
  leftprotoport=17/1701
  right=1.2.3.4     
  rightprotoport=17/1701 
ACHTUNG: "1.2.3.4" = ersetzen mit der IP Adresse des L2TP VPN Servers)

IPsec Preshared Key Datei (/etc/ipsec.secret):
: PSK "test1234" 

back-to-top3.) L2TP Daemon einrichten


Auch hier 2 Dateien:
  • /etc/xl2tpd/xl2tpd.conf
  • /etc/ppp/options.l2tpd.client
xl2tpd Konfig Datei (/etc/xl2tpd/xl2tpd.conf):
[global]
access control = yes
debug tunnel = yes
 
[lac l2tp]
lns = 1.2.3.4     
ppp debug = yes
pppoptfile = /etc/ppp/options.l2tpd.client
length bit = yes 
ACHTUNG: "1.2.3.4" = ersetzen mit der IP Adresse des L2TP VPN Servers)

PPP Options Datei (/etc/ppp/options.l2tpd.client):
ipcp-accept-local
ipcp-accept-remote
require-mschap-v2
refuse-eap
noccp
noauth
idle 1800
mtu 1410
mru 1410
noipdefault
nodefaultroute
connect-delay 5000
name testuser
password geheim123 
("name" und "password" sind die L2TP User Login Daten)

back-to-top4.) L2TP Tunnel aktivieren:


  • ipsec up l2tp
  • echo "c l2tp" > /var/run/xl2tpd/l2tp-control

Letzteres packt man dann am besten in ein Bash Script wie z.B.
#!/bin/bash
ipsec up l2tp
    sleep 2    #delay to ensure that IPsec is started before overlaying L2TP
    systemctl restart xl2tpd
    sleep 2
/bin/echo "c l2tp" > /var/run/xl2tpd/l2tp-control     
    sleep 2    #delay again to make that the PPP connection is up.
    ip route add 192.168.88.0/24 dev ppp0 
(192.168.88.0/24 ist hier das remote LAN auf der L2TP Server Seite)

Fazit:
Works as designed ! 😉

back-to-top5.) Weiterführende Links zum Thema L2TP VPN


tzabbi
tzabbi 26.04.2021 um 15:29:01 Uhr
Goto Top
Wow super Anleitung!

Ich habe jetzt nochmal ubuntu im dualboot installiert und deine Anleitung befolgt. Jedoch kommt ein gewohntes Bild.

invalid HASH_V1 payload length, decryption failed?

Ich habe deine Anleitung 1:1 übernommen und die entsprechenden Server, User und Kennwörter angepasst.
aqui
aqui 26.04.2021, aktualisiert am 02.05.2021 um 12:39:53 Uhr
Goto Top
Das kann dann nur noch am L2TP Server selber liegen. Hier kommt es natürlich darauf an welche Cipher Suites der supportet bzw. dort konfiguriert sind. Gut möglich das der nur DH Group 2 kann. Dann solltest du die 2 Zeilen:
ike=aes128-sha1-modp1024
esp=aes128-sha1-modp1024

entsprechend mal umkonfigurieren und nochmal testen.
Mit welchen Ciphers ist denn dein L2TP Server konfiguriert ?!
Hier siehst du die P1 Ciphers vom L2TP Server (Mikrotik)
l2tpcipher
Auf dem ebenfalls getesten L2TP Server der pfSense sind diese identisch eingestellt !

Hier siehst du mal die Outputs allein wenn man nur den IPsec Tunnel aufbaut:

back-to-topStrongswan Output:

root@debiansrv:/etc# ipsec up mt-l2tp
initiating Main Mode IKE_SA mt-l2tp[1] to 10.99.1.136
generating ID_PROT request 0 [ SA V V V V V ]
sending packet: from 10.99.1.141[500] to 10.99.1.136[500] (240 bytes)
received packet: from 10.99.1.136[500] to 10.99.1.141[500] (160 bytes)
parsed ID_PROT response 0 [ SA V V V V ]
received NAT-T (RFC 3947) vendor ID
received XAuth vendor ID
received DPD vendor ID
received FRAGMENTATION vendor ID
selected proposal: IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
generating ID_PROT request 0 [ KE No NAT-D NAT-D ]
sending packet: from 10.99.1.141[500] to 10.99.1.136[500] (372 bytes)
received packet: from 10.99.1.136[500] to 10.99.1.141[500] (364 bytes)
parsed ID_PROT response 0 [ KE No NAT-D NAT-D ]
generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
sending packet: from 10.99.1.141[500] to 10.99.1.136[500] (108 bytes)
received packet: from 10.99.1.136[500] to 10.99.1.141[500] (76 bytes)
parsed ID_PROT response 0 [ ID HASH ]
IKE_SA mt-l2tp[1] established between 10.99.1.141[10.99.1.141]...10.99.1.136[10.99.1.136]
scheduling reauthentication in 3323s
maximum IKE_SA lifetime 3503s
generating QUICK_MODE request 3259047429 [ HASH SA No KE ID ID ]
sending packet: from 10.99.1.141[500] to 10.99.1.136[500] (444 bytes)
received packet: from 10.99.1.136[500] to 10.99.1.141[500] (92 bytes)
parsed INFORMATIONAL_V1 request 2578376834 [ HASH N(INITIAL_CONTACT) ]
received packet: from 10.99.1.136[500] to 10.99.1.141[500] (428 bytes)
parsed QUICK_MODE response 3259047429 [ HASH SA No KE ID ID ]
selected proposal: ESP:AES_CBC_128/HMAC_SHA1_96/MODP_2048/NO_EXT_SEQ
CHILD_SA mt-l2tp{1} established with SPIs c4b63172_i 0a33df32_o and TS 10.99.1.141/32[udp/l2f] === 10.99.1.136/32[udp/l2f]
connection 'mt-l2tp' established successfully 
Bzw. der Staus des IPsec Tunnels
root@debiansrv:/etc# ipsec status
Security Associations (1 up, 0 connecting):
     mt-l2tp[1]: ESTABLISHED 42 seconds ago, 10.99.1.141[10.99.1.141]...10.99.1.136[10.99.1.136]
     mt-l2tp{1}:  INSTALLED, TRANSPORT, reqid 1, ESP SPIs: c8e3cc2a_i 0d2ae8fa_o
     mt-l2tp{1}:   10.99.1.141/32[udp/l2f] === 10.99.1.136/32[udp/l2f] 

back-to-topL2TP Tunnel:

Nach dem Aufbau mit /bin/echo "c l2tp-mt" > /var/run/xl2tpd/l2tp-control baut sich dann auch sofort das ppp0 Tunnel Interface auf:
root@debiansrv:/etc/# ip addr show
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether b8:27:eb:73:39:aa brd ff:ff:ff:ff:ff:ff
    inet 10.99.1.141/24 brd 10.99.1.255 scope global dynamic noprefixroute eth0
       valid_lft 1973sec preferred_lft 1523sec
    inet6 1234:cc:711:4699:9753:206c:c899:dcfd/64 scope global dynamic mngtmpaddr noprefixroute
       valid_lft 2591807sec preferred_lft 604607sec
    inet6 fe80::482f:8602:827d:4d31/64 scope link
       valid_lft forever preferred_lft forever
3: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1410 qdisc pfifo_fast state UNKNOWN group default qlen 3
    link/ppp
    inet 192.168.88.200 peer 192.168.88.1/32 scope global ppp0
       valid_lft forever preferred_lft forever 

Hier das ganze der Vollständigkeit halber nochmal mit...

back-to-topUbuntu:

root@ubuntusrv:/etc# lsb_release -a
No LSB modules are available.
Distributor ID:	Ubuntu
Description:	Ubuntu 20.04.2 LTS
Release:	20.04
Codename:	focal

root@ubuntusrv:/etc# ipsec up l2tp
initiating Main Mode IKE_SA l2tp[1] to 10.99.1.136
generating ID_PROT request 0 [ SA V V V V V ]
sending packet: from 10.99.1.143[500] to 10.99.1.136[500] (240 bytes)
received packet: from 10.99.1.136[500] to 10.99.1.143[500] (160 bytes)
parsed ID_PROT response 0 [ SA V V V V ]
received NAT-T (RFC 3947) vendor ID
received XAuth vendor ID
received DPD vendor ID
received FRAGMENTATION vendor ID
selected proposal: IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
generating ID_PROT request 0 [ KE No NAT-D NAT-D ]
sending packet: from 10.99.1.143[500] to 10.99.1.136[500] (372 bytes)
received packet: from 10.99.1.136[500] to 10.99.1.143[500] (364 bytes)
parsed ID_PROT response 0 [ KE No NAT-D NAT-D ]
generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
sending packet: from 10.99.1.143[500] to 10.99.1.136[500] (108 bytes)
received packet: from 10.99.1.136[500] to 10.99.1.143[500] (76 bytes)
parsed ID_PROT response 0 [ ID HASH ]
IKE_SA l2tp[1] established between 10.99.1.143[10.99.1.143]...10.99.1.136[10.99.1.136]
scheduling reauthentication in 3288s
maximum IKE_SA lifetime 3468s
generating QUICK_MODE request 1522282375 [ HASH SA No KE ID ID ]
sending packet: from 10.99.1.143[500] to 10.99.1.136[500] (444 bytes)
received packet: from 10.99.1.136[500] to 10.99.1.143[500] (428 bytes)
parsed QUICK_MODE response 1522282375 [ HASH SA No KE ID ID ]
selected proposal: ESP:AES_CBC_128/HMAC_SHA1_96/MODP_2048/NO_EXT_SEQ
CHILD_SA l2tp{1} established with SPIs ca535bcf_i 042dfcdb_o and TS 10.99.1.143/32[udp/l2f] === 10.99.1.136/32[udp/l2f]
connection 'l2tp' established successfully

root@ubuntusrv:/etc# echo "c l2tp" > /var/run/xl2tpd/l2tp-control 

root@ubuntusrv:/etc# ip addr
2: enp0s25: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 00:23:5a:3f:01:22 brd ff:ff:ff:ff:ff:ff
    inet 10.99.1.143/24 brd 10.99.1.255 scope global dynamic noprefixroute enp0s25
       valid_lft 2408sec preferred_lft 2408sec
    inet6 1234:cc:711:4699:fc47:1d64:a3a0:22f1/64 scope global temporary dynamic 
       valid_lft 603608sec preferred_lft 84949sec
4: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1410 qdisc fq_codel state UNKNOWN group default qlen 3
    link/ppp 
    inet 192.168.88.200 peer 192.168.88.1/32 scope global ppp0
       valid_lft forever preferred_lft forever 

root@ubuntusrv:/etc# ping -c 3 192.168.88.1
PING 192.168.88.1 (192.168.88.1) 56(84) bytes of data.
64 bytes from 192.168.88.1: icmp_seq=1 ttl=64 time=0.867 ms
64 bytes from 192.168.88.1: icmp_seq=2 ttl=64 time=0.940 ms
64 bytes from 192.168.88.1: icmp_seq=3 ttl=64 time=0.950 ms

--- 192.168.88.1 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 0.867/0.919/0.950/0.037 ms 
192.168.88.1 ist die lokale LAN IP Adresse des L2TP Servers auf der anderen Seite:

Der Syslog Output zum L2TP ist dann entsprechend wenn du dir den unter /var/log/syslog einmal ansiehst (der Übersicht halber gekürzt):
pppd[3422]: rcvd [CHAP Success id=0x1 "S=335C632F51D6088B5302F449110F2461C3F3F285"]
pppd[3422]: response found in cache (entry 0)
pppd[3422]: CHAP authentication succeeded
pppd[3422]: sent [IPCP ConfReq id=0x1 <addr 0.0.0.0>]
pppd[3422]: rcvd [IPCP ConfReq id=0x1 <addr 192.168.88.1>]
pppd[3422]: sent [IPCP ConfAck id=0x1 <addr 192.168.88.1>]
pppd[3422]: rcvd [proto=0x8281] 01 01 00 04
pppd[3422]: local IP address 192.168.88.200
pppd[3422]: remote IP address 192.168.88.1
charon: 05[KNL] 192.168.88.200 appeared on ppp0
charon: 13[KNL] interface ppp0 activated


Fazit:
Das der L2TP Tunnelaufbau mit 2 verschiedenen Linux Distributionen absolut fehlerfrei rennt auf 2 unterschiedliche L2TP VPN Server zeigt eindeutig das der böse Buhmann bei dir nur dein L2TP Server selber sein kann !!
Bzw. ggf. nutzt dieser falsche Cipher Suites oder du hast ihm falsche konfiguriert oder was auch immer. Wäre aber schon komisch, denn alle gängigen L2TP Server nutzen so gut wie immer die üblichen L2TP Standard Settings dafür damit sie immer fehlerfrei mit allen meistverbreiteten L2TP Clients laufen. Siehe oben...
Du solltest dir also nochmals deinen L2TP Server und dessen Konfig sehr genau ansehen !! Dieser wird vermutlich auch weder mit dem bordeigenen Windows L2TP Client noch mit dem eines Apple Macs oder iOS iPhones oder auch Androiden zusammen laufen, richtig ? Was dann ein sicheres Indiz dafür ist das der Server Konfig technisch einen "an der Waffel" hat.
tzabbi
tzabbi 02.05.2021 um 10:31:07 Uhr
Goto Top
Hi,

vielen Dank für die Mühe und auch die umfangreichen Erklärungen.
Ich habe den l2tp server der UDM-Pro mit Netzwerk etc neu aufgesetzt.

Leider klappt es mit ubuntu bzw kubuntu und deiner Anleitung nicht. Wenn ich allerdings ein iPhone oder ein Windows Rechner nehme dann kann er die Verbindung aufbauen Log der UDM-Pro:
10[NET] received packet: from 80.187.xxx.xxx[500] to 192.168.xxx.xxx[500] (788 bytes)
10[ENC] parsed ID_PROT request 0 [ SA V V V V V V V V V V V V ]
10[IKE] received NAT-T (RFC 3947) vendor ID
10[IKE] received draft-ietf-ipsec-nat-t-ike vendor ID
10[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID
10[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID
10[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID
10[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID
10[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID
10[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
10[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID
10[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
10[IKE] received FRAGMENTATION vendor ID
10[IKE] received DPD vendor ID
10[IKE] 80.187.xxx.xxx is initiating a Main Mode IKE_SA
10[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
10[ENC] generating ID_PROT response 0 [ SA V V V V ]
10[NET] sending packet: from 192.168.xxx.xxx[500] to 80.187.xxx.xxx[500] (160 bytes)
05[NET] received packet: from 80.187.xxx.xxx[500] to 192.168.xxx.xxx[500] (380 bytes)
05[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]
05[IKE] local host is behind NAT, sending keep alives
05[IKE] remote host is behind NAT
05[ENC] generating ID_PROT response 0 [ KE No NAT-D NAT-D ]
05[NET] sending packet: from 192.168.xxx.xxx[500] to 80.187.xxx.xxx[500] (396 bytes)
08[NET] received packet: from 80.187.xxx.xxx[6882] to 192.168.xxx.xxx[4500] (108 bytes)
08[ENC] parsed ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
08[CFG] looking for pre-shared key peer configs matching 192.168.xxx.xxx...80.187.xxx.xxx[0.0.0.0]
08[CFG] selected peer config "lns-l2tp-server"  
08[IKE] IKE_SA lns-l2tp-server[15] established between 192.168.xxx.xxx[192.168.xxx.xxx]...80.187.xxx.xxx[0.0.0.0]
08[IKE] scheduling reauthentication in 2935s
08[IKE] maximum IKE_SA lifetime 3475s
08[ENC] generating ID_PROT response 0 [ ID HASH ]
08[NET] sending packet: from 192.168.xxx.xxx[4500] to 80.187.xxx.xxx[6882] (92 bytes)
06[NET] received packet: from 80.187.xxx.xxx[6882] to 192.168.xxx.xxx[4500] (428 bytes)
06[ENC] parsed QUICK_MODE request 425672906 [ HASH SA No ID ID NAT-OA NAT-OA ]
06[CFG] selected proposal: ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ
06[ENC] generating QUICK_MODE response 425672906 [ HASH SA No ID ID NAT-OA NAT-OA ]
06[NET] sending packet: from 192.168.xxx.xxx[4500] to 80.187.xxx.xxx[6882] (204 bytes)
14[NET] received packet: from 80.187.xxx.xxx[6882] to 192.168.xxx.xxx[4500] (76 bytes)
14[ENC] parsed QUICK_MODE request 425672906 [ HASH ]
14[IKE] CHILD_SA lns-l2tp-server{3} established with SPIs c4c7da75_i 0df12291_o and TS 192.168.xxx.xxx/32[udp/1701] === 80.187.xxx.xxx/32[udp/49513]
14[CHD] updown:
14[CHD] updown: no response
12[KNL] 10.255.255.0 appeared on ppp100000
16[KNL] 10.255.255.0 disappeared from ppp100000
08[KNL] 10.255.255.0 appeared on ppp100000
13[KNL] interface l2tp0 activated
08[IKE] sending DPD request
08[ENC] generating INFORMATIONAL_V1 request 2272983888 [ HASH N(DPD) ]
08[NET] sending packet: from 192.168.xxx.xxx[4500] to 80.187.xxx.xxx[6882] (108 bytes)
15[NET] received packet: from 80.187.xxx.xxx[6882] to 192.168.xxx.xxx[4500] (108 bytes)
15[ENC] parsed INFORMATIONAL_V1 request 908314988 [ HASH N(DPD_ACK) ]
14[IKE] sending DPD request
14[ENC] generating INFORMATIONAL_V1 request 2638538877 [ HASH N(DPD) ]
14[NET] sending packet: from 192.168.xxx.xxx[4500] to 80.187.xxx.xxx[6882] (108 bytes)
11[NET] received packet: from 80.187.xxx.xxx[6882] to 192.168.xxx.xxx[4500] (108 bytes)
11[ENC] parsed INFORMATIONAL_V1 request 4291494934 [ HASH N(DPD_ACK) ]

Interessant finde ich die Zeile :
10[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
diese abe ich auch mal eingesellt, allerdings ohne erfolg bei den Linux Clients.


Zitat von @aqui:

Mit welchen Ciphers ist denn dein L2TP Server konfiguriert ?!

das kann ich dir leider nicht sagen, ich kann den service einfach nur aktivieren oder deaktiveren.

Ich glaube aber, dass ich wohl wieder ein wireguard vpn server aufsetzen werde. Da klappt alles einwandfrei.
aqui
aqui 02.05.2021 aktualisiert um 12:43:07 Uhr
Goto Top
Interessant finde ich die Zeile :
In der Tat... Bedeutet das dort AES CBS, 256 SHA256 und DH Group 14 gemacht wird in der P1 !
Bedeutet dann das im Strongswan IPsec Setup dann:

ike=aes256-sha256-modp2048
esp=aes256-sha256-modp2048


stehen muss !
Hast du das oben so entsprechend eingegeben ??

Du gibst zum Starten des IPsec Tunnel ja zuerst immer ein:

ipsec restart
ipsec up <conn-name>


Wichtig wäre genau DIESEN Output deines Ubuntu Clients einmal zu sehen ! Der zeigt die IPsec Client Seite und was dort ggf. schief rennt.
Leider hast du diesen zum Troubleshooting sehr wichtigen Output bis dato hier noch nie gepostet. face-sad
Genau DER würde aber zeigen was der Client nicht mag.

P.S.:
Die o.a. Konfig mit DH Group 2 hatte einen fatalen Fehler ! Es muss bei Group 2 natürlich richtig heissen "modp1024" (und nicht 1048). Sorry für diesen groben Fauxpas. Ist korrigiert !
tzabbi
tzabbi 10.05.2021 um 19:00:33 Uhr
Goto Top
Ok danke, das werde ich morgen testen und hier rückmeldung geben face-smile
tzabbi
tzabbi 12.05.2021 um 11:06:13 Uhr
Goto Top
Hi,

hier die Ausgabe, nachdem ich nochmla alles überprüft habe:

Das ist von dem ubuntuclient:

tzabbi@ubuntu:~$ sudo ipsec up l2tp
initiating Main Mode IKE_SA l2tp[2] to 91.35.xxx.xxx
generating ID_PROT request 0 [ SA V V V V V ]
sending packet: from 192.168.xxx.xxx[500] to 91.35.xxx.xxx[500] (240 bytes)
received packet: from 91.35.xxx.xxx[500] to 192.168.xxx.xxx[500] (160 bytes)
parsed ID_PROT response 0 [ SA V V V V ]
received XAuth vendor ID
received DPD vendor ID
received FRAGMENTATION vendor ID
received NAT-T (RFC 3947) vendor ID
selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
generating ID_PROT request 0 [ KE No NAT-D NAT-D ]
sending packet: from 192.168.xxx.xxx[500] to 91.35.xxx.xxx[500] (396 bytes)
received packet: from 91.35.xxx.xxx[500] to 192.168.xxx.xxx[500] (396 bytes)
parsed ID_PROT response 0 [ KE No NAT-D NAT-D ]
local host is behind NAT, sending keep alives
remote host is behind NAT
generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
sending packet: from 192.168.xxx.xxx[4500] to 91.35.xxx.xxx[4500] (108 bytes)
received packet: from 91.35.xxx.xxx[500] to 192.168.xxx.xxx[500] (92 bytes)
invalid HASH_V1 payload length, decryption failed?
could not decrypt payloads
message parsing failed
ignore malformed INFORMATIONAL request
INFORMATIONAL_V1 request with message ID 2437811582 processing failed
sending retransmit 1 of request message ID 0, seq 3
sending packet: from 192.168.xxx.xxx[4500] to 91.35.xxx.xxx[4500] (108 bytes)
received packet: from 91.35.xxx.xxx[500] to 192.168.xxx.xxx[500] (92 bytes)
invalid HASH_V1 payload length, decryption failed?
could not decrypt payloads
message parsing failed
ignore malformed INFORMATIONAL request
INFORMATIONAL_V1 request with message ID 1263970599 processing failed
sending retransmit 2 of request message ID 0, seq 3
sending packet: from 192.168.xxx.xxx[4500] to 91.35.xxx.xxx[4500] (108 bytes)
received packet: from 91.35.xxx.xxx[500] to 192.168.xxx.xxx[500] (92 bytes)
invalid HASH_V1 payload length, decryption failed?
could not decrypt payloads
message parsing failed
ignore malformed INFORMATIONAL request
INFORMATIONAL_V1 request with message ID 1847566348 processing failed
aqui
aqui 12.05.2021 um 11:19:20 Uhr
Goto Top
Du scheiterst schon mit dem IPsec Tunnel in Phase 1:
invalid HASH_V1 payload length, decryption failed?
Zeigt ganz klar das dein IPsec Hashing Verfahren nicht mit dem Gegenüber übereinstimmt.
Du musst mal mit den entsprechenden Parametern etwas spielen wenn das Gegenüber scheinbar kein SHA256 supportet. Z.B.:

ike=aes256-sha1-modp2048
esp=aes256-sha1-modp2048

oder

ike=aes256-sha1-modp1024
esp=aes256-sha1-modp1024

Oder mal ganz einfach mit 128 Bit

ike=aes128-sha1-modp2048
esp=aes128-sha1-modp2048

bzw. DH Group2

ike=aes256-sha1-modp1024
esp=aes256-sha1-modp1024

Spiel das mal durch !
Es darf keine P1 Fehlermeldung erscheinen und es muss am Schluss immer eine "successful" Message kommen:
CHILD_SA xyz{1} established with SPIs c4b63172_i 0a33df32_o and TS 10.99.1.141/32[udp/l2f] === 10.99.1.136/32[udp/l2f]
connection 'xyz' established successfully


Wie sieht deine aktuelle Strongswan Konfig aus ?
tzabbi
tzabbi 14.05.2021 um 09:40:30 Uhr
Goto Top
Hi,

ich hab jetzt alle von dir aufgeschriebenen Varianten durchprobiert. Keine hat funktioniert.

anbei meine /etc/ipsec.conf:

# ipsec.conf - strongSwan IPsec configuration file

# basic configuration

config setup
        # strictcrlpolicy=yes
        # uniqueids = no

# Add connections here.

# Sample VPN connections

#conn sample-self-signed
#      leftsubnet=10.1.0.0/16
#      leftcert=selfCert.der
#      leftsendcert=never
#      right=192.168.0.2
#      rightsubnet=10.2.0.0/16
#      rightcert=peerCert.der
#      auto=start

#conn sample-with-ca-cert
#      leftsubnet=10.1.0.0/16
#      leftcert=myCert.pem
#      right=192.168.0.2
#      rightsubnet=10.2.0.0/16
#      rightid="C=CH, O=Linux strongSwan CN=peer name" 
#      auto=start

conn l2tp
  ikelifetime=60m
  keylife=20m
  rekeymargin=3m
  keyingtries=1
  keyexchange=ikev1
  authby=secret
  ike=aes256-sha1-modp1024
  esp=aes256-sha1-modp1024
  authby=secret
  keyexchange=ikev1
  auto=add
  type=transport
  left=%defaultroute
  leftprotoport=17/1701
  right=serverip
  rightprotoport=17/1701 
aqui
Lösung aqui 14.05.2021, aktualisiert am 21.05.2021 um 15:44:58 Uhr
Goto Top
ich hab jetzt alle von dir aufgeschriebenen Varianten durchprobiert. Keine hat funktioniert.
Na ja, das Sinnigste wäre ja einfach mal beim L2TP Server nachzusehen WELCHE Schlüssel- und Hashing Verfahren der eingestellt hat. Ist ja zielführender als alle 100 und mehr möglichen Optionen im Trial and Error Verfahren durchzuprobieren !!
Vielleicht solltest du einfach mal ein Screenshot seines IPsec Setups oder die Settings hier posten. Das würde für alle das Troubleshooting erheblich verinfachen, denn dann wüsste man was der Server vorgibt !!
Nebenbei:
Einige Optionen wie "type=transport", "keyexchange=ikev1" und auch "auth=secret" sind doppelt in deiner Konfig !! Das solltest du korrigieren.
Parameter wie "keyringtries" sind überflüssig und auch deprecated wie "left=%defaultroute". Diese solltest du zwingend entfernen.
So sollte es aussehen:
conn l2tp
ikelifetime=60m
keylife=20m
rekeymargin=3m
keyexchange=ikev1
authby=secret
ike=aes128-sha1-modp2048
esp=aes128-sha1-modp2048
auto=add
type=transport
leftprotoport=17/1701
right=<server_ip>
rightprotoport=17/1701


Wie gesagt: Checke die IPsec Settings des L2TP Servers ! Der gibt die L2TP Schlüsselverfahren immer vor und passe diese auf dem Client entsprechend an in den o.a. Strongswan Setup Dateien ! Dann klappt das auch sofort.
tzabbi
tzabbi 27.05.2021 um 17:14:36 Uhr
Goto Top
Ok ich habe alles angepasst. Leider ohne erfolg. Das Problem ist, dass ich da nicht viel einstellen kann. Ich kann den Server aktivieren und deaktivieren, aber ohne irgendwelche Einstellungen vorzunehmen.

Ich habe mir jetzt ein Wireguard Server aufgesetzt. Damit funktioniert es ohne Probleme!

Vielen Dank für deine Hilfe, es ist etwas unbefriedigend, dass der Fehler nicht gefunden wurde.

Bleibt gesund!
tzabbi
aqui
Lösung aqui 27.05.2021 aktualisiert um 18:27:33 Uhr
Goto Top
kann den Server aktivieren und deaktivieren, aber ohne irgendwelche Einstellungen vorzunehmen.
Das ist sehr schlecht ! face-sad Was ist das denn für ein gruseliges Produkt wo man das nicht customizen kann und wo das nicht einmal sauber dokumentiert ist ?
es ist etwas unbefriedigend, dass der Fehler nicht gefunden wurde.
Ja, leider. Man hätte jetzt tief mit dem Wireshark einsteigen können. Schlimm ist aber das sowas am L2TP Server nicht curomizebar ist. Von solcher HW, was auch immer das ist, sollte man immer die Finger lassen. Du siehst ja das es sogar mit einfachen 20 Euro Routern (Mikrotik) und allen anderen L2TP Server Komponenten fehlerlos klappt.
Na ja...mit Wireguard klappts ja auch. Doof ist da nur das man immer einen extra Client installieren muss. Aber für dich im Linux Umfeld ja auch nicht wirklich relevant.
Vielen Dank für deine Hilfe
Immer gerne ! 😉
tzabbi
tzabbi 07.06.2021 um 12:30:48 Uhr
Goto Top
Das ist sehr schlecht ! face-sad face-sad Was ist das denn für ein gruseliges Produkt wo man das nicht customizen kann und wo das nicht einmal sauber dokumentiert ist ?

ich bin auch fassunslos...
aqui
aqui 07.06.2021 um 18:21:00 Uhr
Goto Top
Entsorgen, Recyclinghof wo es hingehört und was "richtiges" beschaffen. face-wink