Как решить проблемы L2TP IPSec (PSK) после замены openswan на strongSwan?

Question

[krotish]

Опишу суть вопроса, есть инстанс на Amazon EC2 (Debian wheezy), на нем сервер l2tp vpn в обвязке IPsec.
используется xl2tpd и strongswan. Проблемы начались как раз таки после замены openswan (по причине глюка последней версии в debian с mac os и ios) на strongswan.

При вроде бы абсолютно элементарной конфигурации я вижу ошибки в логе авторизации (клиент с мака, подключение l2tp):

<b>#</b> tail -f /var/log/auth.log
Jul 12 16:10:19 ip-172-31-x-x pluto[2289]: packet from 109.187.x.x:500: initial Main Mode message received on 172.31.x.x:500 but no connection has been authorized with policy=PSK

Порты, надо понимать, открыты:
UDP 4500 0.0.0.0/0
UDP 500 0.0.0.0/0
UDP 1701 0.0.0.0/0
TCP 500 0.0.0.0/0 (хотя tcp порт тут даже лишний).

Однако, если подключаться из под Mac OS с подключением, настроенным как чистый IPSec все работает.

Далее, если в конфиг ipsec прописать строчку
keyexchange=ikev1
то ошибка в логе авторизации меняется, однако всё-равно l2tp клиенту подключится не удаёся:

cannot respond to IPsec SA request because no connection is known for
sending encrypted notification INVALID_MESSAGE_ID to

Конфиги банальны до безобразия:
/etc/ipsec.conf

config setup
strictcrlpolicy=no
nat_traversal=yes
charonstart=yes
plutostart=yes

conn roadwarrior
       left= 172.31.x.x
       leftsubnet= 172.31.x.x/32
       right=%any
       rightsourceip=10.8.0.0/24
xauth=server
authby=xauthpsk
keyexchange=ikev1
compress=yes
pfs=no
forceencaps=yes
lifetime=1h
margintime=15m
rekeyfuzz=100%
auto=add

/etc/ipsec.secrets

172.31.x.x %any : PSK "11111111"
krotish : XAUTH "1111111"

/etc/xl2tpd/xl2tpd.conf

[global]
 ipsec saref = no
 listen-addr =172.31.x.x 
[lns default]
length bit=yes
ip range=10.8.0.1-5
ppp debug=no
require authentication=yes
local ip=10.8.0.0
pppoptfile=/etc/ppp/options.xl2tpd

/etc/ppp/options.xl2tpd

require-mschap-v2
refuse-mschap
refuse-chap
refuse-pap
name l2tpd
ms-dns 4.2.2.2
mtu 1400
mru 1400
connect-delay 5000
noccp
auth
crtscts
lock
debug
proxyarp

/etc/ppp/chap-secrets

# client	server	secret			IP addresses
krotish l2tpd 11111111 *

Помогите, пожалуйста, разобраться, хочется заставить l2tp все-таки работать и именно со strong'ом.

Answer 1

[Thund3rHabr]

Сам сейчас только разбираюсь и читаю маны, но появилась идея... Вернее, прочитал в статье в конфиге ipsec.conf: leftprotoport=17/%any # до этого стояло 1701, но iOS не подключался. Поменял на %any и, о чудо: теперь мой iPad тоже был в сети для мониторинга терминалов!
Надеюсь поможет...

Comments

[Максим Гришин]

Видимо, у вас left была удаленная сторона. Да, при установке L2TP-соединения исходящий порт может быть не равен 1701.