Le client VPN L2TP / IPSec sur le service VPN Ubuntu 16.04 n'a pas pu démarrer

12

Sur Ubuntu 16.04, j'ai déjà suivi quelques tutoriels pour reconstruire le gestionnaire de réseau, également installé via apt-get install network-manager-l2tp network-manager-l2tp-gnome.

Cela fonctionnait jusqu'à hier, quand un message au hasard disait The VPN connection failed because the VPN service failed to start. Il n'y a aucune erreur de configuration car les mêmes informations d'identification VPN et le même hôte sont utilisés dans un autre Ubuntu, également 16.04 et Windows 8.1.

En regardant /var/log/syslog:

NetworkManager[899]: <info>  [1496143714.1953] audit: op="connection-activate" uuid="cac1651d-9cbd-4989-bc57-b9707ddd012a" name="VPNCS" pid=2295 uid=1000 result="success"
NetworkManager[899]: <info>  [1496143714.1973] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: Started the VPN service, PID 5798
NetworkManager[899]: <info>  [1496143714.2013] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: Saw the service appear; activating connection
NetworkManager[899]: <info>  [1496143714.2760] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: VPN connection: (ConnectInteractive) reply received
NetworkManager[899]: nm-l2tp[5798] <info>  ipsec enable flag: yes
NetworkManager[899]: ** Message: Check port 1701
NetworkManager[899]: nm-l2tp[5798] <info>  starting ipsec
NetworkManager[899]: Stopping strongSwan IPsec...
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22167, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22168, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22169, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22170, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22171, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22172, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22173, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22174, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22175, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22176, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22177, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22178, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22179, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22180, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22181, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22182, major_opcode = 33, minor_opcode = 0
NetworkManager[899]: Starting strongSwan 5.5.2 IPsec [starter]...
NetworkManager[899]: Loading config setup
NetworkManager[899]: Loading conn 'cac1651d-9cbd-4989-bc57-b9707ddd012a'
NetworkManager[899]: found netkey IPsec stack
charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.5.2, Linux 4.4.0-78-generic, x86_64)
NetworkManager[899]: nm-l2tp[5798] <warn>  IPsec service is not ready.
NetworkManager[899]: nm-l2tp[5798] <warn>  Could not establish IPsec tunnel.
NetworkManager[899]: (nm-l2tp-service:5798): GLib-GIO-CRITICAL **: g_dbus_method_invocation_take_error: assertion 'error != NULL' failed
NetworkManager[899]: <info>  [1496143732.4905] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: VPN plugin: state changed: stopped (6)
NetworkManager[899]: <info>  [1496143732.4929] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: VPN plugin: state change reason: unknown (0)
NetworkManager[899]: <info>  [1496143732.4952] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: VPN service disappeared
NetworkManager[899]: <warn>  [1496143732.4971] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: VPN connection: failed to connect: 'Message recipient disconnected from message bus without replying'

J'ai déjà essayé de supprimer network-manager-l2tpet de -gnomeréinstaller les packages, mais j'ai toujours la même erreur.

Une solution?

16.04  networking  network-manager  vpn  ipsec 
Fabiano
source

Réponses:

14

J'ai trouvé une solution dans le référentiel du développeur.

https://github.com/nm-l2tp/network-manager-l2tp/issues/38#issuecomment-303052751

La version 1.2.6 ne remplace plus les chiffrements IPsec par défaut et je soupçonne que votre serveur VPN utilise un chiffrement hérité que les nouvelles versions strongSwan considèrent comme cassées.

Consultez la section des suites de chiffrement IPsec spécifiées par l'utilisateur dans le fichier README.md sur la façon de compléter les chiffrements par défaut strongSwan par les vôtres:

https://github.com/nm-l2tp/network-manager-l2tp#user-specified-ipsec-ikev1-cipher-suites

Je recommanderais d'installer le package ike-scan pour vérifier les chiffres que votre serveur VPN annonce qu'il prend en charge, par exemple:

$ sudo systemctl stop strongswan  
$ sudo ike-scan 123.54.76.9  
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
123.54.76.9   Main Mode Handshake returned HDR=(CKY-R=5735eb949670e5dd) SA=(Enc=3DES Hash=SHA1 Auth=PSK Group=2:modp1024 LifeType=Seconds LifeDuration(4)=0x00007080)
Ending ike-scan 1.9: 1 hosts scanned in 0.263 seconds (3.80 hosts/sec).  1 returned handshake; 0 returned notify

Donc, avec cet exemple où un chiffrement 3DES cassé est annoncé, dans la section avancée de la boîte de dialogue IPsec pour la version 1.2.6, ajoutez ce qui suit:

  • Algorithmes de phase 1: 3des-sha1-modp1024

  • Algorithmes de Phase2: 3des-sha1

Après toutes les étapes, essayez la connexion L2TP, elle doit être établie.

PRIHLOP
source
Épargnant de vie! Je voudrais ajouter que si vous exécutez sudo ike-scan <address>et qu'il renvoie quelque chose sur la liaison et le port déjà utilisés, il est possible que cela systemctl stop strongswanne soit pas suffisant et charonqu'il fonctionne toujours. On peut confirmer que l'exécution sudo netstat -nplet la vérification du bloc supérieur où il est montré les processus et les ports utilisés. Je pouvais complètement arrêter Charon de courir sudo service strongswan stop, je ne sais pas pourquoi le comportement était différent systemctl.
Fabiano
3
Le -scommutateur de ike-scanca vous fait économiser de la chasse aux PID;). Il peut même vous faire économiser sur sudo: ike-scan -s 60066 <IP>
brisssou
Je pense que parce que Strongswan est un service "hérité", les scripts systemctl passent à une couche de compatibilité qui peut ne pas gérer correctement toutes les dépendances. J'ai remarqué un problème similaire avec l'arrêt de systemctl qui n'était pas suffisant pour activer l'utilisation de ike-scan.
dragon788
Je viens de rencontrer un autre problème avec le processus utilisant le port 500. Cela rend également ma connexion pour retourner le délai d'expiration. Dans ce cas, je l'ai trouvé en essayant de courir ike-scanet il a dit que le port 500 était déjà utilisé. en utilisant netstat -nplmontré qui l' docker-proxyutilisait. Comme je ne dépend pas de docker, je l'ai arrêté avec sudo service docker stopet j'ai pu me connecter avec succès au VPN L2TP.
Fabiano
2

Cette réponse est spécifique à la connexion à un compte Cisco Meraki sur un VPN L2TP / IP. La solution fonctionne sur mon système Ubuntu 16.04. Toutes les instructions sont directement copiées de la réponse de Pigman sur ce fil de discussion Meraki . Chapeau à lui, il m'a sauvé des heures de frustration.

  1. Installez network-manager-l2tp: sudo add-apt-repository ppa:nm-l2tp/network-manager-l2tpet `sudo apt-get update sudo apt-get install network-manager-l2tp
  2. Si vous utilisez gnome, installez le plugin gnome (si vous utilisez un autre environnement de bureau, voyez s'il y a un plugin pour son gestionnaire de réseau): sudo apt-get install network-manager-l2tp-gnome
  3. Redémarrer
  4. Naviguez vers Paramètres> Réseau> Cliquez sur le bouton +> Sélectionnez "Layer 2 Tunneling Protocol (L2TP)"
  5. Nommez la nouvelle connexion VPN quelque chose
  6. Mettez le nom d'hôte ou l'adresse dans le champ Passerelle.
  7. Mettez le nom d'utilisateur dans le champ Nom d'utilisateur.
  8. Cliquez sur l'icône dans le champ Mot de passe et sélectionnez votre préférence pour la manière de fournir le mot de passe.
  9. Cliquez sur Paramètres IPSec ...
  10. Cliquez sur la case "Activer le tunnel IPsec vers l'hôte L2TP"
  11. Saisissez le secret partagé dans le champ Clé pré-partagée.
  12. Laissez le champ Gateway ID vide.
  13. Développez la zone Options avancées
  14. Saisissez "3des-sha1-modp1024" dans la case Algorithmes de phase 1.
  15. Saisissez "3des-sha1" dans la case Algorithmes de la phase 2.
  16. Laissez la case cochée pour "Appliquer l'encapsulation UDP".
  17. Cliquez sur OK.
  18. Cliquez sur Enregistrer.
  19. Ouvrez un terminal et entrez les commandes suivantes pour désactiver définitivement le xl2tpdservice: sudo service xl2tpd stop
  20. Saisissez également les informations suivantes: sudo systemctl disable xl2tpd
  21. Ouvrez les paramètres réseau et essayez d'activer le VPN.

Quelques étapes supplémentaires à partir des réponses précédentes, juste pour être à toute épreuve

  1. sudo service strongswan stop
  2. sudo systemctl disable strongswan
  3. Vous pouvez enregistrer le mot de passe sur la page de configuration VPN en cliquant sur l'icône à droite de la zone de texte du mot de passe
twitu
source
1
Merci, cela a fonctionné pour moi. Linux Mint 19.2 (U18.04). Je n'ai pas eu à désactiver strongswan ou xl2tpd. Je venais de mettre une valeur dans le champ 'Gateway ID' et c'est ce qui l'a brisé. Pour une TP-Link Box de travail, c'était des yikes 3des-md5-modp1024.
Aaron Chamberlain
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.