|
|
|
|
| Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » VPN - [решено] L2TP\IPsec Error 789 809 |
|
|
VPN - [решено] L2TP\IPsec Error 789 809
|
|
Ветеран Сообщения: 697 |
есть сервер с Debian и почти настроенным VPN L2TP\IPsec.
Конфигурация ниже, делал по этой статье: Скрытый текст
ipsec.conf Код:
 config setup protostack=netkey nat_traversal=yes # Enables NAT traversal virtual_private=%v4:192.168.1.0/24 # with this option you can add your local IP in NAT conn L2TP-PSK-NAT rightsubnet=vhost:%priv also=L2TP-PSK-noNAT conn L2TP-PSK-noNAT authby=secret # Auth with PSK ( preshared key ) pfs=no auto=add keyingtries=3 rekey=no ikelifetime=8h salifetime=10m type=tunnel # type of l2tp connection ( tunnel / transport ) left=192.168.178.12 # left - is internet IP of l2tp server leftprotoport=17/1701 right=%any # right - is IP of client ( if client NATed , that IP of client is IP in NAT ) rightprotoport=17/1701 Скрытый текст
ipsec.secrets Код:
# This file holds shared secrets or RSA private keys for inter-Pluto # authentication. See ipsec_pluto(8) manpage, and HTML documentation. # RSA private key for this host, authenticating it to any other host # which knows the public part. Suitable public keys, for ipsec.conf, DNS, # or configuration of other implementations, can be extracted conveniently # with "ipsec showhostkey". # this file is managed with debconf and will contain the automatically created RSA keys include /var/lib/openswan/ipsec.secrets.inc 192.168.178.12 %any: PSK "mykey1" Скрытый текст
xl2tpd.conf Код:
[global] listen-addr = 192.168.178.12 port = 1701 auth file = /etc/xl2tpd/l2tp-secrets [lns default] ip range = 10.0.0.2-10.0.0.200 local ip = 10.0.0.1 refuse chap = yes refuse pap = yes require authentication = yes ppp debug = no pppoptfile = /etc/ppp/options.xl2tpd length bit = yes exclusive = no assign ip = yes name = VPN-Server Скрытый текст
l2tp-secrets Код:
# Secrets for authenticating l2tp tunnels # us them secret # * marko blah2 # zeus marko blah # * * interop * * * # let all , because we use auth with ppp Скрытый текст
Код:
ipsec verify
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path [OK]
Linux Openswan U2.6.37/K3.2.0-4-amd64 (netkey)
Checking for IPsec support in kernel [OK]
SAref kernel support [N/A]
NETKEY: Testing XFRM related proc values [OK]
[OK]
[OK]
Checking that pluto is running [OK]
Pluto listening for IKE on udp 500 [OK]
Pluto listening for NAT-T on udp 4500 [OK]
Checking for 'ip' command [OK]
Checking /bin/sh is not /bin/dash [WARNING]
Checking for 'iptables' command [OK]
Opportunistic Encryption Support [DISABLED]
открытые порты на сервере: Скрытый текст
Код:
nmap -sT -O localhost Starting Nmap 6.00 ( http://nmap.org ) at 2015-03-23 19:52 CET Nmap scan report for localhost (127.0.0.1) Host is up (0.00010s latency). Other addresses for localhost (not scanned): 127.0.0.1 Not shown: 997 closed ports PORT STATE SERVICE 22/tcp open ssh 25/tcp open smtp 111/tcp open rpcbind No exact OS matches for host (If you know what OS is running on it, see http://nmap.org/submit/ ). TCP/IP fingerprint: OS:SCAN(V=6.00%E=4%D=3/23%OT=22%CT=1%CU=39556%PV=N%DS=0%DC=L%G=Y%TM=5510610 OS:8%P=x86_64-unknown-linux-gnu)SEQ(SP=105%GCD=1%ISR=108%TI=Z%CI=I%II=I%TS= OS:8)OPS(O1=M400CST11NW5%O2=M400CST11NW5%O3=M400CNNT11NW5%O4=M400CST11NW5%O OS:5=M400CST11NW5%O6=M400CST11)WIN(W1=8000%W2=8000%W3=8000%W4=8000%W5=8000% OS:W6=8000)ECN(R=Y%DF=Y%T=41%W=8018%O=M400CNNSNW5%CC=Y%Q=)T1(R=Y%DF=Y%T=41% OS:S=O%A=S+%F=AS%RD=0%Q=)T2(R=N)T3(R=N)T4(R=Y%DF=Y%T=41%W=0%S=A%A=Z%F=R%O=% OS:RD=0%Q=)T5(R=Y%DF=Y%T=41%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)T6(R=Y%DF=Y%T=41%W OS:=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=41%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=) OS:U1(R=Y%DF=N%T=41%IPL=164%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUD=G)IE(R=Y%D OS:FI=N%T=41%CD=S) Network Distance: 0 hops OS detection performed. Please report any incorrect results at http://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 12.54 seconds Клиент - Windows 8.1 & Windows 2012 R2:  получаю предупреждение что шифрования не будет:  Жмякаю подключить, ввожу пользователя и пароль - всё работает! как только настраиваю IPsec - получаю ошибку 789. Нашёл видео, где настраивается согласование IPsec, но мне не помогло. Судя по комментариям не всем помогает. Сервер находится за натом, проброшены порты (без проброса ничего не работало):  пробрасывал GRE, ESP - не помогало. Их вообще нужно пробрасывать? в чём проблема? Чего не хватает? ps.: на сервере 2012 R2 нет возможности удалить методы безопасности : Скрытый текст
Спасибо. |
|
|
Отправлено: 22:29, 23-03-2015 |
|
Старожил Сообщения: 390
|
Профиль | Отправить PM | Цитировать Цитата Ыть:
Порт 1701 в настройках сервера указан, поэтому и пробрасывали. А 500 и 4500 откуда взяли?(there may be a problem with its built-in firewall ("Internet Connection Firewall"). If you encounter this problem, you may have to open ports in ICF (probably UDP ports 500 and 4500)) Цитата Ыть:
Цитата Ыть:
: PSK "mykey1" Цитата Ыть:
Цитата Ыть:
Цитата Ыть:
Цитата Ыть:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters This error may occur in the following cases: • The certificate (plus private key) has not been installed correctly •The remote VPN server is rejecting the IPsec connection because the configuration of the client and the server do not match ("no connection has been authorized"). Verify in MMC that certificates actually have been installed Check the internal clock of your computer Select "IPSec Policy Agent" from the list and check if the Startup type is set to "Automatic" |
|||||||
|
Последний раз редактировалось pavsem7, 24-03-2015 в 00:22. Отправлено: 22:57, 23-03-2015 | #2 |
|
Ветеран Сообщения: 697
|
Профиль | Отправить PM | Цитировать Цитата pavsem7:
Цитата pavsem7:
Цитата pavsem7:
Цитата pavsem7:
Цитата pavsem7:
Код:
ipsec showhostkey --ipseckey 192.168.178.12 ipsec showhostkey "/etc/ipsec.secrets" line 11: unterminated string ipsec showhostkey: wrong kind of key PPK_PSK in show_dnskey. Expected PPK_RSA. |
|||||
|
Отправлено: 23:55, 23-03-2015 | #3 |
|
Ветеран Сообщения: 697
|
Профиль | Отправить PM | Цитировать Цитата Ыть:
Цитата:
|
||
|
Отправлено: 00:26, 24-03-2015 | #4 |
|
Старожил Сообщения: 390
|
Профиль | Отправить PM | Цитировать Цитата Ыть:
|
||
|
Отправлено: 09:58, 24-03-2015 | #5 |
|
Ветеран Сообщения: 697
|
Профиль | Отправить PM | Цитировать Цитата pavsem7:
Цитата Ыть:
На внешнем фаерволе (для клиента) ничего не открывал, не пробрасывал. осталось решить, почему шлюз по умолчанию не назначается... хотя это точка-точка... нет интернета на машине с VPN IPsec. забыл указать опции подключения: Скрытый текст
options.xl2tpd Код:
refuse-mschap-v2 refuse-mschap ms-dns 8.8.8.8 ms-dns 8.8.4.4 asyncmap 0 auth crtscts idle 1800 mtu 1200 mru 1200 lock hide-password local #debug name l2tpd proxyarp lcp-echo-interval 30 lcp-echo-failure 4 defaultroute и ещё я вспомнил, что у нас один бухгалтер работает с Cisco VPN клиентом, и там тоже IPSec и тоже интернета нет. Может так и должно быть в случае IPSec? |
||
|
Последний раз редактировалось Ыть, 24-03-2015 в 20:45. Отправлено: 20:27, 24-03-2015 | #6 |
|
Старожил Сообщения: 390
|
Профиль | Отправить PM | Цитировать Цитата Ыть:
А подсети у Вас какие 10.*.*.* и 192.168.*.* в разных файлах, когда заработало все? Цитата Ыть:
С чем эта бухгалтер связывается? Если с cisco роутером, то там никогда не надо править реестр windows, но бывают у провайдеров локальные подсети, которые конфликтуют с локальной подсетью, из которой роутер раздает адрес или плохое качество связи(у сотовых) |
||
|
Отправлено: 23:27, 24-03-2015 | #7 |
|
Ветеран Сообщения: 697
|
Профиль | Отправить PM | Цитировать Цитата pavsem7:
|
|
|
Отправлено: 16:20, 18-05-2015 | #8 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Route/Bridge - Mikrotik L2TP\IPSec и Windows | kiralex | Сетевые технологии | 0 | 23-12-2014 11:07 | |
| Маршрутизация L2TP+IPSec | Mans2k | Windows Server 2012/2012 R2 | 2 | 13-01-2014 05:57 | |
| Cisco - Cisco 2811 L2TP IPsec | pnck | Сетевое оборудование | 0 | 12-04-2010 12:29 | |
| VPN - проблема с l2tp ipsec | dhorasoo | Сетевые технологии | 1 | 05-07-2009 15:53 | |
| Cisco - Cisco 871 и издевательства над l2tp+\- Ipsec | Gudy | Сетевое оборудование | 0 | 06-08-2008 19:54 | |
|
|
Время: 06:03. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
