Cliente VPN L2TP / IPSec no serviço VPN Ubuntu 16.04 falhou ao iniciar

12

No Ubuntu 16.04, já segui alguns tutoriais para reconstruir o gerenciador de rede, também instalado via apt-get install network-manager-l2tp network-manager-l2tp-gnome.

Estava trabalhando até ontem, quando uma mensagem aleatória dizendo The VPN connection failed because the VPN service failed to start. Não há erros na configuração, pois as mesmas credenciais e host VPN estão sendo usadas em outro Ubuntu, também 16.04 e Windows 8.1.

Olhando para /var/log/syslog:

NetworkManager[899]: <info>  [1496143714.1953] audit: op="connection-activate" uuid="cac1651d-9cbd-4989-bc57-b9707ddd012a" name="VPNCS" pid=2295 uid=1000 result="success"
NetworkManager[899]: <info>  [1496143714.1973] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: Started the VPN service, PID 5798
NetworkManager[899]: <info>  [1496143714.2013] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: Saw the service appear; activating connection
NetworkManager[899]: <info>  [1496143714.2760] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: VPN connection: (ConnectInteractive) reply received
NetworkManager[899]: nm-l2tp[5798] <info>  ipsec enable flag: yes
NetworkManager[899]: ** Message: Check port 1701
NetworkManager[899]: nm-l2tp[5798] <info>  starting ipsec
NetworkManager[899]: Stopping strongSwan IPsec...
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22167, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22168, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22169, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22170, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22171, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22172, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22173, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22174, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22175, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22176, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22177, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22178, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22179, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22180, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22181, major_opcode = 33, minor_opcode = 0
gnome-session[1843]: X protocol error:
gnome-session[1843]: <class 'Xlib.error.BadWindow'>: code = 3, resource_id = Xlib.xobject.resource.Resource(0x00e003ad), sequence_number = 22182, major_opcode = 33, minor_opcode = 0
NetworkManager[899]: Starting strongSwan 5.5.2 IPsec [starter]...
NetworkManager[899]: Loading config setup
NetworkManager[899]: Loading conn 'cac1651d-9cbd-4989-bc57-b9707ddd012a'
NetworkManager[899]: found netkey IPsec stack
charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.5.2, Linux 4.4.0-78-generic, x86_64)
NetworkManager[899]: nm-l2tp[5798] <warn>  IPsec service is not ready.
NetworkManager[899]: nm-l2tp[5798] <warn>  Could not establish IPsec tunnel.
NetworkManager[899]: (nm-l2tp-service:5798): GLib-GIO-CRITICAL **: g_dbus_method_invocation_take_error: assertion 'error != NULL' failed
NetworkManager[899]: <info>  [1496143732.4905] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: VPN plugin: state changed: stopped (6)
NetworkManager[899]: <info>  [1496143732.4929] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: VPN plugin: state change reason: unknown (0)
NetworkManager[899]: <info>  [1496143732.4952] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: VPN service disappeared
NetworkManager[899]: <warn>  [1496143732.4971] vpn-connection[0xa56420,cac1651d-9cbd-4989-bc57-b9707ddd012a,"VPNCS",0]: VPN connection: failed to connect: 'Message recipient disconnected from message bus without replying'

Eu já tentei remover network-manager-l2tpe -gnomepacotes e reinstalá-los, mas ainda tenho o mesmo erro.

Alguma correção?

Fabiano
fonte

Respostas:

14

Encontrei uma solução no repositório do desenvolvedor.

https://github.com/nm-l2tp/network-manager-l2tp/issues/38#issuecomment-303052751

A versão 1.2.6 não substitui mais as cifras IPsec padrão e suspeito que o servidor VPN esteja usando uma cifra legada que as versões mais recentes do strongSwan consideram estar com problemas.

Consulte a seção de conjuntos de cifras IPsec especificada pelo usuário no arquivo README.md sobre como complementar as cifras padrão do strongSwan com as suas:

https://github.com/nm-l2tp/network-manager-l2tp#user-specified-ipsec-ikev1-cipher-suites

Eu recomendaria instalar o pacote ike-scan para verificar quais códigos o servidor VPN anuncia, como por exemplo:

$ sudo systemctl stop strongswan  
$ sudo ike-scan 123.54.76.9  
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
123.54.76.9   Main Mode Handshake returned HDR=(CKY-R=5735eb949670e5dd) SA=(Enc=3DES Hash=SHA1 Auth=PSK Group=2:modp1024 LifeType=Seconds LifeDuration(4)=0x00007080)
Ending ike-scan 1.9: 1 hosts scanned in 0.263 seconds (3.80 hosts/sec).  1 returned handshake; 0 returned notify

Portanto, neste exemplo em que uma cifra 3DES quebrada é anunciada, na seção avançada da caixa de diálogo IPsec da versão 1.2.6, adicione o seguinte:

  • Algoritmos da fase 1: 3des-sha1-modp1024

  • Algoritmos da fase2: 3des-sha1

Após todas as etapas tentarem a conexão L2TP, ela deve ser estabelecida.

PRIHLOP
fonte
Poupança de vida! Gostaria de acrescentar que, se você executar sudo ike-scan <address>e retornar algo sobre ligação e porta já em uso, é possível que isso systemctl stop strongswannão tenha sido suficiente e charonainda esteja em execução. Pode-se confirmar que executando sudo netstat -nple verificando o bloco superior, onde são mostrados os processos e portas em uso. Eu conseguia parar completamente a corrida de charon sudo service strongswan stop, sem saber por que o comportamento era diferente systemctl.
Fabiano
3
A -sopção de ike-scanca economiza uma busca no PID;). Pode até salvá-lo para sudo: ike-scan -s 60066 <IP>
brisssou 07/07
Penso que, porque o Strongswan é um serviço "legado", os scripts systemctl passam para uma camada de compatibilidade que pode não lidar com todas as dependências corretamente. Percebi que um problema semelhante com o systemctl não é suficiente para permitir o uso do ike-scan.
dragon788
Acabei de encontrar outro problema com o processo usando a porta 500. Também faz com que minha conexão retorne o tempo limite. Nesse caso, eu o encontrei tentando executar ike-scane disse que a porta 500 já estava em uso. usando netstat -nplmostrado que docker-proxyestava usando. Como não dependo do docker, parei com ele sudo service docker stope consegui me conectar à VPN L2TP.
Fabiano
2

Esta resposta é específica para conectar-se a uma conta Cisco Meraki em uma VPN L2TP / IP. A solução está funcionando no meu sistema Ubuntu 16.04. Todas as instruções são copiadas diretamente da resposta de Pigman neste tópico do fórum Meraki . Tirando o chapéu para ele, ele me salvou horas de frustração.

  1. Instale network-manager-l2tp: sudo add-apt-repository ppa:nm-l2tp/network-manager-l2tpe `sudo apt-get update sudo apt-get install rede-gerenciador-l2tp
  2. Se estiver usando o gnome, instale o plug-in do gnome (se estiver usando outro ambiente de área de trabalho, veja se existe um plug-in para o seu gerenciador de rede): sudo apt-get install network-manager-l2tp-gnome
  3. Reiniciar
  4. Navegue para Configurações> Rede> Clique no botão +> Selecione "Protocolo de encapsulamento da camada 2 (L2TP)"
  5. Nomeie a nova conexão VPN como algo
  6. Coloque o nome ou endereço do host no campo Gateway.
  7. Coloque o nome de usuário no campo Nome de usuário.
  8. Clique no ícone no campo Senha e selecione sua preferência de como fornecer a senha.
  9. Clique em Configurações IPSec ...
  10. Clique na caixa para "Ativar túnel IPsec no host L2TP"
  11. Digite o segredo compartilhado no campo Chave pré-compartilhada.
  12. Deixe o campo ID do gateway vazio.
  13. Expanda a área Opções avançadas
  14. Digite "3des-sha1-modp1024" na caixa Algoritmos da fase 1.
  15. Digite "3des-sha1" na caixa Algoritmos da fase 2.
  16. Deixe a caixa marcada para "Aplicar o encapsulamento UDP".
  17. Clique OK.
  18. Clique em Save.
  19. Abra um terminal e insira os seguintes comandos para desativar permanentemente o xl2tpdservice: sudo service xl2tpd stop
  20. Digite também o seguinte: sudo systemctl disable xl2tpd
  21. Abra Configurações de rede e tente ativar a VPN.

Mais algumas etapas das respostas anteriores, apenas para ser infalível

  1. sudo service strongswan stop
  2. sudo systemctl disable strongswan
  3. Você pode salvar a senha na página de configuração da VPN clicando no ícone à direita da caixa de texto da senha
twitu
fonte
1
Graças isso funcionou para mim. Linux Mint 19.2 (U18.04). Não precisei desativar o strongswan ou o xl2tpd; acabei de colocar um valor no campo 'Gateway ID' e foi isso que o quebrou. Para uma caixa TP-Link de trabalho, eram 3des-md5-modp1024 caramba.
Aaron Chamberlain