Почему не работает MPPE128 при подключении к L2TP серверу на Mikrotik?

Question

[Keffer]

Собственно проблема. В ОС Linux при создании коннекта руками в GUI в Network manager, L2TP, к серверу L2TP на mikrotik, не работает шифрование MPEE128 стандартное. Винда подключается к тому же тику без проблем, пишет что MPPE 128 Stateless, а вот линукс ни в какую. Только без шифрования работает. Пробовал и Mint и Debian и Ubuntu. Подскажите знающие люди, что подкрутить в линкусе и где, чтобы заработало MPPE 128? В GUI Network manager естесно стоит в свойствах соединения, что использовать 128-bit security. Но упорно не работает. Да и вообще ни с какой комбинацией настроек там не работает. А если в профиле тика для аккаунта выставить тип шифрования Required (обязательное) то он не подключается вообще. Выдает в логе : terminating... - Encryption negotiation rejected

Answer 1

[Igor]

Причина проблемы оказалась вовсе не тривиальной. Суть в том, что пакет network-manager-l2tp версии 1.20.0-1build2 устанавливаемый в Ubuntu 22.04.3 LTS собран таким образом, что отключает протокол сжатия CCP ( Compression Control Protocol ), который и занимается согласованием шифрования MPPE. Решить проблему можно ручной сборкой пакета network-manager-l2tp.

На моей Ubuntu 22.04.3 LTS это выглядело так:

- Устанавливаем пакеты, необходимые для сборки

sudo apt install \
build-essential \
git \
intltool \
libtool \
network-manager-dev \
libnm-dev \
libnma-dev \
ppp-dev \
libdbus-glib-1-dev \
libsecret-1-dev \
libgtk-3-dev \
libglib2.0-dev \
libssl-dev \
libnss3-dev \
libxml2-utils \
xl2tpd \
strongswan

Дополнительно мне пришлось установить еще 2 пакета:
sudo apt install automake autopoint

- Клонируем исходный код и переходим в полученный каталог:

cd ~
git clone https://github.com/nm-l2tp/network-manager-l2tp.git
cd network-manager-l2tp

- Запускаем скрипт ./autogen.sh, который генерирует сценарий выполнения configure и другие необходимые файлы.
- Проверяем наличие необходимых зависимостей и готовим исходный код к сборке:

./configure \
  --disable-static --prefix=/usr \
  --sysconfdir=/etc --libdir=/usr/lib/x86_64-linux-gnu \
  --libexecdir=/usr/lib/NetworkManager \
  --localstatedir=/var \
  --with-pppd-plugin-dir=/usr/lib/pppd/2.4.9

- Запускаем сборку и установку пакета:

make
sudo make install

Теперь L2TP должен работать корректно.

Информация собрана на Github network-manager-l2tp по мотивам багрепорта https://github.com/nm-l2tp/NetworkManager-l2tp/iss.... Большое спасибо автору коммита и разработчику, что совместными усилиями оперативно решили проблему!

Comments

[Keffer]

Собственно это мой багрепорт и есть на гитхабе. И проблема да, действительно крайне нетривиальная. Не говоря уже о том, что почему то никто не натолкнулся явно на нее и не озвучивал ранее. Проблема на самом деле не в Network Manager как таковом, а в плагине l2tp, конкретно в библиотеке nm-l2tp-service. И поставляется он такой полурабочий во все ОС, к сожалению. Надеюсь после обновления автором новый коммит попадет во все дистрибутивы выходящие в будущем.

[Igor]

Я предполагал, что багрепорт именно ваш, посмотрев ваши ответы на Habr Q&A =) Вы провели большое исследование, и потомки еще не раз выразят свою благодарность!

Спасибо за уточнение, я упомянул о плагине network-manager-l2tp в первом абзаце ответа. Надеюсь, детальная инструкция сможет помочь кому-то еще. Я встречался с этой проблемой около 4 лет назад еще в Ubuntu 19, но решил вопрос настройкой другого типа VPN подключения.

Пока я готовил подробный комментарий, появилась мысль написать небольшую статью на Хабр. Но кажется, будет лучше, если вы сами сможете поделиться деталями исследования с хабра сообществом. Еще раз благодарю!

[Keffer]

Igor, конечно, пишите статью, очень полезное дело. Я сам вряд ли бы стал писать именно отдельную статью. Возможно потому, что слишком уж узкоспецифичная проблема. Все сейчас предпочитают вместо проверенных временем типов впн новинки вроде wireguard и никто особенно не станет заморачиваться по их мнению устаревшим L2TP.