El cliente VPN L2TP / IPSec en Ubuntu 16.04 no pudo iniciar el servicio VPN

12

En Ubuntu 16.04, ya he seguido un par de tutoriales para reconstruir el administrador de red, también instalado a través de apt-get install network-manager-l2tp network-manager-l2tp-gnome.

Estaba funcionando hasta ayer, cuando un mensaje al azar decía The VPN connection failed because the VPN service failed to start. No hay errores en la configuración ya que las mismas credenciales de VPN y host se han estado utilizando en otro Ubuntu, también 16.04 y Windows 8.1.

Mirando /var/log/syslog:

NetworkManager[899]: <info>  [1496143714.1953] audit: op="connection-activate" uuid="cac1651d-9cbd-4989-bc57-b9707ddd012a" name="VPNCS" pid=2295 uid=1000 result="success"
NetworkManager[899]: <info>  [1496143714.1973] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: Started the VPN service, PID 5798
NetworkManager[899]: <info>  [1496143714.2013] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: Saw the service appear; activating connection
NetworkManager[899]: <info>  [1496143714.2760] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: VPN connection: (ConnectInteractive) reply received
NetworkManager[899]: nm-l2tp[5798] <info>  ipsec enable flag: yes
NetworkManager[899]: ** Message: Check port 1701
NetworkManager[899]: nm-l2tp[5798] <info>  starting ipsec
NetworkManager[899]: Stopping strongSwan IPsec...
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22167, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22168, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22169, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22170, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22171, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22172, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22173, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22174, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22175, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22176, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22177, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22178, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22179, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22180, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22181, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22182, major_opcode = 33, minor_opcode = 0
NetworkManager[899]: Starting strongSwan 5.5.2 IPsec [starter]...
NetworkManager[899]: Loading config setup
NetworkManager[899]: Loading conn 'cac1651d-9cbd-4989-bc57-b9707ddd012a'
NetworkManager[899]: found netkey IPsec stack
charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.5.2, Linux 4.4.0-78-generic, x86_64)
NetworkManager[899]: nm-l2tp[5798] <warn>  IPsec service is not ready.
NetworkManager[899]: nm-l2tp[5798] <warn>  Could not establish IPsec tunnel.
NetworkManager[899]: (nm-l2tp-service:5798): GLib-GIO-CRITICAL **: g_dbus_method_invocation_take_error: assertion 'error != NULL' failed
NetworkManager[899]: <info>  [1496143732.4905] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: VPN plugin: state changed: stopped (6)
NetworkManager[899]: <info>  [1496143732.4929] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: VPN plugin: state change reason: unknown (0)
NetworkManager[899]: <info>  [1496143732.4952] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: VPN service disappeared
NetworkManager[899]: <warn>  [1496143732.4971] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: VPN connection: failed to connect: 'Message recipient disconnected from message bus without replying'

Ya he intentado eliminar network-manager-l2tpy -gnomepaquetes y reinstalarlos, pero todavía tengo el mismo error.

¿Alguna solución?

Fabiano
fuente

Respuestas:

14

Encontré una solución en el repositorio del desarrollador.

https://github.com/nm-l2tp/network-manager-l2tp/issues/38#issuecomment-303052751

La versión 1.2.6 ya no anula los cifrados IPsec predeterminados y sospecho que su servidor VPN está utilizando un cifrado heredado. Las versiones más recientes de strongSwan se consideran dañadas.

Consulte la sección de conjuntos de cifrado IPsec especificada por el usuario en el archivo README.md sobre cómo complementar los cifrados predeterminados strongSwan con los suyos:

https://github.com/nm-l2tp/network-manager-l2tp#user-specified-ipsec-ikev1-cipher-suites

Recomendaría instalar el paquete ike-scan para verificar qué cifrados anuncia su servidor VPN, por ejemplo:

$ sudo systemctl stop strongswan  
$ sudo ike-scan 123.54.76.9  
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
123.54.76.9   Main Mode Handshake returned HDR=(CKY-R=5735eb949670e5dd) SA=(Enc=3DES Hash=SHA1 Auth=PSK Group=2:modp1024 LifeType=Seconds LifeDuration(4)=0x00007080)
Ending ike-scan 1.9: 1 hosts scanned in 0.263 seconds (3.80 hosts/sec).  1 returned handshake; 0 returned notify

Entonces, con este ejemplo donde se anuncia un cifrado 3DES roto, en la sección avanzada del cuadro de diálogo IPsec para la versión 1.2.6, agregue lo siguiente:

  • Algoritmos de fase 1: 3des-sha1-modp1024

  • Algoritmos de fase 2: 3des-sha1

Después de que todos los pasos prueben la conexión L2TP, debe establecerse.

PRIHLOP
fuente
Salvavidas! Me gustaría agregar que si ejecuta sudo ike-scan <address>y devuelve algo sobre el enlace y el puerto que ya está en uso, es posible que eso systemctl stop strongswanno sea suficiente y charontodavía se esté ejecutando. Uno puede confirmar que se está ejecutando sudo netstat -nply verificando el bloque superior donde se muestran los procesos y puertos que se están utilizando. Podía detener completamente la ejecución de Charon sudo service strongswan stop, sin estar seguro de por qué el comportamiento diferente de eso systemctl.
Fabiano
3
El -sinterruptor de ike-scanca puede ahorrarle una búsqueda de PID;). Incluso puede salvarlo a sudo: ike-scan -s 60066 <IP>
brisssou
Creo que debido a que Strongswan es un servicio "heredado", los scripts systemctl se transfieren a una capa de compatibilidad que puede no manejar todas las dependencias correctamente. Me di cuenta de que un problema similar con el systemctl deja de ser suficiente para permitir el uso de ike-scan.
dragon788
Acabo de encontrar otro problema con el proceso usando el puerto 500. También hace que mi conexión vuelva al tiempo de espera. En este caso, lo encontré al intentar ejecutar ike-scany decía que el puerto 500 ya estaba en uso. usando netstat -nplmostrado que lo docker-proxyestaba usando. Como no dependo de la ventana acoplable, lo detuve sudo service docker stopy pude conectarme con éxito a la VPN L2TP.
Fabiano
2

Esta respuesta es específica para conectarse a una cuenta de Cisco Meraki en una VPN L2TP / IP. La solución funciona en mi sistema Ubuntu 16.04. Todas las instrucciones se copian directamente de la respuesta de Pigman en este hilo del foro de Meraki . Me quito el sombrero ante él, me ahorró horas de frustración.

  1. Instale network-manager-l2tp: sudo add-apt-repository ppa:nm-l2tp/network-manager-l2tpy `sudo apt-get update sudo apt-get install network-manager-l2tp
  2. Si usa gnome, instale el complemento gnome (si usa otro entorno de escritorio, vea si hay un complemento para su administrador de red): sudo apt-get install network-manager-l2tp-gnome
  3. Reiniciar
  4. Vaya a Configuración> Red> Haga clic en el botón +> Seleccione "Protocolo de túnel de capa 2 (L2TP)"
  5. Asigne un nombre a la nueva conexión VPN
  6. Ponga el nombre de host o la dirección en el campo Gateway.
  7. Poner nombre de usuario en el campo Nombre de usuario.
  8. Haga clic en el icono en el campo Contraseña y seleccione su preferencia sobre cómo proporcionar la contraseña.
  9. Haga clic en Configuración de IPSec ...
  10. Haga clic en la casilla "Habilitar túnel IPsec para el host L2TP"
  11. Ingrese el secreto compartido en el campo Clave precompartida.
  12. Deje el campo ID de puerta de enlace vacío.
  13. Expanda el área de Opciones avanzadas
  14. Ingrese "3des-sha1-modp1024" en el cuadro Algoritmos de fase 1.
  15. Ingrese "3des-sha1" en el cuadro Algoritmos de fase 2.
  16. Deje la casilla marcada para "Forzar encapsulación UDP".
  17. Haga clic en Aceptar.
  18. Clic en Guardar.
  19. Abra una terminal e ingrese los siguientes comandos para deshabilitar permanentemente el xl2tpdservice: sudo service xl2tpd stop
  20. Ingrese también lo siguiente: sudo systemctl disable xl2tpd
  21. Abra la Configuración de red e intente encender la VPN.

Unos pasos más tomados de respuestas anteriores, solo para ser infalible

  1. sudo service strongswan stop
  2. sudo systemctl disable strongswan
  3. Puede guardar la contraseña en la página de configuración de VPN haciendo clic en el icono a la derecha del cuadro de texto de contraseña
twitu
fuente
1
Gracias, esto funcionó para mí. Linux Mint 19.2 (U18.04). No tuve que apagar strongswan o xl2tpd, solo había puesto un valor en el campo 'ID de puerta de enlace' y eso fue lo que lo rompió. Para una caja TP-Link de trabajo eran 3des-md5-modp1024 yikes.
Aaron Chamberlain