환경:
# uname -a
Linux shrimpwagon 3.16.0-4-amd64 #1 SMP Debian 3.16.39-1+deb8u1 (2017-02-22) x86_64 GNU/Linux
나는 다음을 설치했습니다:
# apt-get install strongswan xl2tpd
Meraki VPN에 연결하려고 합니다. Meraki 기술 담당자와 통화했는데 그는 인증되지 않는 것 같다고 말했지만 더 자세한 내용은 알려주지 않았습니다.
# ipsec up L2TP-PSK
generating QUICK_MODE request 2711688330 [ HASH SA No ID ID NAT-OA NAT-OA ]
sending packet: from 10.0.0.4[4500] to 50.123.152.194[4500] (252 bytes)
received packet: from 50.123.152.194[4500] to 10.0.0.4[4500] (68 bytes)
parsed INFORMATIONAL_V1 request 2555305796 [ HASH N(NO_PROP) ]
received NO_PROPOSAL_CHOSEN error notify
establishing connection 'L2TP-PSK' failed
ipsec.conf:
config setup
virtual_private=%v4:10.0.0.0/8
# nat_traversal=yes
protostack=auto
oe=off
plutoopts="--interface=eth0"
conn L2TP-PSK
keyexchange=ikev1
ike=aes128-sha1-modp1024,3des-sha1-modp1024!
phase2=ah
phase2alg=aes128-sha1-modp1024,3des-sha1-modp1024!
authby=secret
aggrmode=yes
pfs=no
auto=add
keyingtries=2
# dpddelay=30
# dpdtimeout=120
# dpdaction=clear
# rekey=yes
ikelifetime=8h
keylife=1h
type=transport
left=%defaultroute
# leftnexthop=%defaultroute
# leftprotoport=udp/l2tp
right=50.123.152.194
rightsubnet=10.2.150.0/24
ipsec.비밀:
%any %any : PSK "****"
xl2tpd.conf:
[lac vpn-connection]
lns = 50.123.152.194
;refuse chap = yes
;refuse pap = no
;require authentication = yes
;name = vpn-server
ppp debug = yes
pppoptfile = /etc/ppp/options.l2tpd.client
length bit = yes
옵션.l2tpd.client:
ipcp-accept-local
ipcp-accept-remote
refuse-eap
require-mschap-v2
noccp
noauth
idle 1800
mtu 1410
mru 1410
defaultroute
usepeerdns
debug
lock
connect-delay 5000
name swelch
password ****
대부분의 지침은 다음 웹사이트에서 얻었습니다.
https://www.elastichosts.com/blog/linux-l2tpipsec-vpn-client/
공격적 모드로 전환하고 ikev1을 지정하고 ike 알고리즘을 설정해야 했습니다. 이 작업이 완료되면 MX와 통신을 시작할 수 있습니다. 하지만 이제 이 오류가 발생하여 완전히 당황하게 되었습니다.
미리 감사드립니다!
답변1
Meraki 클라이언트 VPN으로 연결하는 경우 Strongswan의 기본 프로토콜 협상 목록에서 제거된 프로토콜만 지원하므로(SWEET32 생일 공격이 해당 프로토콜 중 일부를 대상으로 할 수 있기 때문에) 이를 명시적으로 지정해야 합니다(말씀하신 대로).
ike-scanMeraki "서버"에 설치하고 실행하면 기본 sudo ipsec stop; sudo service xl2tpd stop; sudo ike-scan YOUR.SERVER.IP프로토콜이 무엇인지 확인할 수 있습니다. 3des-sha1-modp1024내 (NetworkManager)가 생성한 ipsec.conf에는 및 phase2행 phase2alg이 없지만 esp.
내 작업 구성의 프로토콜 조각은 다음과 같습니다.
keyexchange=ikev1
ike=3des-sha1-modp1024!
esp=3des-sha1!
참고 사항: CLI를 사용하고 있으므로 이는 중요하지 않을 수 있지만 저는 PPA를 L2TP용 NM 플러그인으로 사용하고 있으며 ppa:nm-l2tp/network-manager-l2tp내 NetworkManager GUI에서는 Phase 1및를 참조 Phase 2하지만 생성된 ipsec 구성에서는 이러한 Map을 ike위와 같습니다 esp. 나는 이것을 사용했다블로그 게시물
답변2
마지막으로 이 작업을 수행했을 때 위에 표시된 설정이 내 시스템에 대해 예상한 대로인지 NO_PROPOSAL_CHOSEN확인해야 했습니다 . MTU시스템 로그의 다른 오류 줄 중에서 발견했습니다.