The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"xl2tpd"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (VPN / Linux)
Изначальное сообщение [ Отслеживать ]

"xl2tpd"  +/
Сообщение от mozart82email (ok), 04-Июл-11, 15:47 
Здраствуйте. Такая проблема.
Железная дорога Украины создала доступ к своей базе через VPN сервер,
с предварительным ключом проверки подлиности.
после запуска xl2tpd с ключом -D
выдает такую ерунду и висит

xl2tpd[3508]: setsockopt recvref[22]: Protocol not available
xl2tpd[3508]: This binary does not support kernel L2TP.
xl2tpd[3508]: xl2tpd version xl2tpd-1.2.6 started on luser PID:3508
xl2tpd[3508]: Written by Mark Spencer, Copyright (C) 1998, Adtran, Inc.
xl2tpd[3508]: Forked by Scott Balmos and David Stipp, (C) 2001
xl2tpd[3508]: Inherited by Jeff McAdams, (C) 2002
xl2tpd[3508]: Forked again by Xelerance (www.xelerance.com) (C) 2006
xl2tpd[3508]: Listening on IP address 0.0.0.0, port 1052
xl2tpd[3508]: Connecting to host vpn2.uz.gov.ua, port 1701
xl2tpd[3508]: Maximum retries exceeded for tunnel 3193.  Closing.

Ответить | Правка | Cообщить модератору

Оглавление

  • xl2tpd, DeadLoco (ok), 22:13 , 04-Июл-11, (1)  
    • xl2tpd, mozart82 (ok), 08:30 , 05-Июл-11, (2)  
      • xl2tpd, Loly (?), 10:47 , 05-Июл-11, (3)  
        • xl2tpd, mozart82 (ok), 11:25 , 05-Июл-11, (4)  
      • xl2tpd, DeadLoco (ok), 11:54 , 05-Июл-11, (5)  
        • xl2tpd, mozart82 (ok), 11:56 , 05-Июл-11, (6)  
          • xl2tpd, DeadLoco (ok), 12:04 , 05-Июл-11, (7)  
          • xl2tpd, DeadLoco (ok), 12:07 , 05-Июл-11, (8)  
            • xl2tpd, mozart82 (ok), 12:29 , 05-Июл-11, (9)  
              • xl2tpd, DeadLoco (ok), 12:50 , 05-Июл-11, (10)  
                • xl2tpd, mozart82 (ok), 14:04 , 05-Июл-11, (11)  
                  • xl2tpd, DeadLoco (ok), 14:21 , 05-Июл-11, (12)  
        • xl2tpd, Loly (?), 15:30 , 05-Июл-11, (13)  
          • xl2tpd, Loly (?), 15:40 , 05-Июл-11, (14)  
            • xl2tpd, mozart82 (ok), 15:59 , 05-Июл-11, (15)  
              • xl2tpd, Loly (?), 03:01 , 06-Июл-11, (16)  
                • xl2tpd, mozart82 (ok), 09:02 , 06-Июл-11, (17)  
                  • xl2tpd, xandry (ok), 20:26 , 18-Фев-13, (18)  
                    • xl2tpd, yurybx (ok), 18:58 , 05-Мрт-19, (19)  
                      • xl2tpd, yurybx (ok), 11:33 , 18-Мрт-19, (20)  
                      • xl2tpd, svat (ok), 17:06 , 20-Мрт-19, (21)  
                        • xl2tpd, yurybx (ok), 21:53 , 20-Мрт-19, (22)  
                        • xl2tpd, svat (ok), 01:19 , 21-Мрт-19, (23)  

Сообщения [Сортировка по времени | RSS]


1. "xl2tpd"  +/
Сообщение от DeadLoco (ok), 04-Июл-11, 22:13 
> выдает такую ерунду и висит
> xl2tpd[3508]: setsockopt recvref[22]: Protocol not available
> xl2tpd[3508]: This binary does not support kernel L2TP.
> xl2tpd[3508]: xl2tpd version xl2tpd-1.2.6 started on luser PID:3508
> xl2tpd[3508]: Listening on IP address 0.0.0.0, port 1052
> xl2tpd[3508]: Connecting to host vpn2.uz.gov.ua, port 1701
> xl2tpd[3508]: Maximum retries exceeded for tunnel 3193.  Closing.

Какое именно слово перевести?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "xl2tpd"  +/
Сообщение от mozart82email (ok), 05-Июл-11, 08:30 
что значить последняя строчка???
почему не создается тунель??
(при команде "ifconfig" нового интерфейса не видать)
извините может неправильно чего нибудь пишу!!!
СПАСИБО!!


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "xl2tpd"  +/
Сообщение от Loly (?), 05-Июл-11, 10:47 
Значит что достигнуто максимальное количество попыток подключения.

Вы бы конфиги показали.

А сервер:порт доступен? Может он у Вас заблокирован, или со стороны сервера ведётся фильтрация.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "xl2tpd"  +/
Сообщение от mozart82email (ok), 05-Июл-11, 11:25 
а вот и они........

options.xl2tpd
nobsdcomp
nodeflate
noaccomp
nopcomp
nodefaultroute
novj
noproxyarp
asyncmap 0
nopersist
lcp-echo-failure 30
lcp-echo-interval 5
ipcp-accept-local
ipcp-accept-remote
mtu 1460
mru 1460
connect /bin/true
maxfail 0
logfile /var/log/pppd
lock

xl2tpd.conf

[global]
port = 1052

[lac connect]
lns = vpn2.uz.gov.ua
redial = yes
require chap = yes
require pap = no
require authentication = no
ppp debug = no
pppoptfile = /etc/ppp/options.xl2tpd
autodial = yes
name = vyslisgosp-2

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "xl2tpd"  +/
Сообщение от DeadLoco (ok), 05-Июл-11, 11:54 
> что значить последняя строчка???
> почему не создается тунель??

Последняя строчка - это уже результат. А причина - в первых двух строчках:

    xl2tpd[3508]: setsockopt recvref[22]: Protocol not available
    xl2tpd[3508]: This binary does not support kernel L2TP.

Протокол недоступен, этот бинарник не поддерживает ядреного Л2ТП. После надцати попыток поднять ядреный Л2ТП на ядре, где его нет, он отваливается.

Смените дистр.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "xl2tpd"  +/
Сообщение от mozart82email (ok), 05-Июл-11, 11:56 
посоветуйте пожалуйста какой вибрать...
у меня ноут "ACER ASPIRE 5552".
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "xl2tpd"  +/
Сообщение от DeadLoco (ok), 05-Июл-11, 12:04 
> посоветуйте пожалуйста какой вибрать...
> у меня ноут "ACER ASPIRE 5552".

ОМГ. А линкус у вас какой?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "xl2tpd"  +/
Сообщение от DeadLoco (ok), 05-Июл-11, 12:07 
> посоветуйте пожалуйста какой вибрать...
> у меня ноут "ACER ASPIRE 5552".

Кстати, Л2ТП можно поднять прямо из винды, у нее есть клиент.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "xl2tpd"  +/
Сообщение от mozart82email (ok), 05-Июл-11, 12:29 
из винды можна но нада лицензия.
LINUX MINT.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "xl2tpd"  +/
Сообщение от DeadLoco (ok), 05-Июл-11, 12:50 
> LINUX MINT.

Openl2tp работает в минте. То-есть, сменить можно не дистр, а клиентскую часть.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "xl2tpd"  +/
Сообщение от mozart82email (ok), 05-Июл-11, 14:04 
я только начинаю???
если можна по подробнее про клиентскую часть

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "xl2tpd"  +/
Сообщение от DeadLoco (ok), 05-Июл-11, 14:21 
> я только начинаю???
> если можна по подробнее про клиентскую часть

http://lmgtfy.com/?q=openl2tp+ubuntu

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "xl2tpd"  +/
Сообщение от Loly (?), 05-Июл-11, 15:30 
>> что значить последняя строчка???
>> почему не создается тунель??
> Последняя строчка - это уже результат. А причина - в первых двух
> строчках:
>     xl2tpd[3508]: setsockopt recvref[22]: Protocol not available
>     xl2tpd[3508]: This binary does not support kernel L2TP.
> Протокол недоступен, этот бинарник не поддерживает ядреного Л2ТП. После надцати попыток
> поднять ядреный Л2ТП на ядре, где его нет, он отваливается.
> Смените дистр.

Не вводите людей в заблуждение то что бинарник не поддерживает ядерного L2TP ничего в данном случае не решает.


ТС, включите опции дебага в xl2tpd.conf (ppp debug = yes) и options.xl2tpd (debug).

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

14. "xl2tpd"  +/
Сообщение от Loly (?), 05-Июл-11, 15:40 
UPD:

Если вы отсюда http:// vpninfo.uz.gov.ua
То Вам надо знать что в Mint-e StrongSwan а не OpenSwan (небольшое отличие в конфиг файлах)

Для того что бы поднимать xl2tpd Вы должны проверить состояние IPSec "транспорта".

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "xl2tpd"  +/
Сообщение от mozart82email (ok), 05-Июл-11, 15:59 
уважаемый Loly я пока не совсем понимаю....
раскажите поподробнее про то как проверить состояние IPSEC, как он запускаетса.
насколько я понимаю при минимальном опыте - сначала надо создать тунель при помощи xL2TPD.
буду очень благодарен за помощ.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "xl2tpd"  +/
Сообщение от Loly (?), 06-Июл-11, 03:01 
> уважаемый Loly я пока не совсем понимаю....
> раскажите поподробнее про то как проверить состояние IPSEC, как он запускаетса.
> насколько я понимаю при минимальном опыте - сначала надо создать тунель при
> помощи xL2TPD.
> буду очень благодарен за помощ.

Для начала надо поднять IPSec транспорт. Для этого нужен например strongswan (установить из репов дистра) ipsec start, ipsec status (поиск Вам поможет). А далее запускаете xl2tpd.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "xl2tpd"  +/
Сообщение от mozart82email (ok), 06-Июл-11, 09:02 
извини Loly наверное надоел....

ipsec.conf
# /etc/ipsec/ipsec.conf - vpn2.uz.gov.ua Openswan IPsec configuration file
# This file was created by openswan-vpn2uz.sh script
#
# Manual:     ipsec.conf.5

# conforms to second version of ipsec.conf specification
version 2.0

# basic configuration
config setup
    # interfaces="ipsec0=eth0"
    klipsdebug=none
    plutodebug=none
    # NAT-TRAVERSAL support, see README.NAT-Traversal
    nat_traversal=yes
    # enable this if you see "failed to find any available worker"
    nhelpers=0

# vpn2uz xl2tp
conn vpn2uz-xl2tp-transport
    type=transport
    left=192.168.10.101
    leftnexthop=%defaultroute
    leftprotoport=17/0
    right=vpn2.uz.gov.ua
    rightprotoport=17/1701
    keyexchange=ike
    ike=3des-sha1
    esp=3des
    pfs=yes
    auto=start
    authby=secret

#Disable Opportunistic Encryption
include /etc/ipsec/ipsec.d/examples/no_oe.conf

запуск IPSEC
IPSEC START

Starting strongSwan 4.4.0 IPsec [starter]...
/etc/ipsec.conf:35: include files found no matches [/etc/ipsec/ipsec.d/examples/no_oe.conf]
unable to start strongSwan -- fatal errors in config

Закоментировал последнюю строчку. и опят запуск ----

Starting strongSwan 4.4.0 IPsec [starter]...
/etc/ipsec.conf:17: unknown keyword 'nhelpers' [0]
unable to start strongSwan -- fatal errors in config


закоментровал снова. и запустил.

Starting strongSwan 4.4.0 IPsec [starter]...
insmod /lib/modules/2.6.35-22-generic/kernel/net/ipv4/ah4.ko
insmod /lib/modules/2.6.35-22-generic/kernel/net/ipv4/esp4.ko
insmod /lib/modules/2.6.35-22-generic/kernel/net/xfrm/xfrm_ipcomp.ko
insmod /lib/modules/2.6.35-22-generic/kernel/net/ipv4/ipcomp.ko
insmod /lib/modules/2.6.35-22-generic/kernel/net/ipv4/tunnel4.ko
insmod /lib/modules/2.6.35-22-generic/kernel/net/ipv4/xfrm4_tunnel.ko
insmod /lib/modules/2.6.35-22-generic/kernel/net/xfrm/xfrm_user.ko

после чего IPSEC STATUS===

000 "vpn2uz-xl2tp-transport": 192.168.10.101[192.168.10.101]:17/0...195.149.70.70[195.149.70.70]:17/1701; unrouted; eroute owner: #0
000 "vpn2uz-xl2tp-transport":   newest ISAKMP SA: #0; newest IPsec SA: #0;
000
000 #1: "vpn2uz-xl2tp-transport" STATE_MAIN_I1 (sent MI1, expecting MR1); EVENT_RETRANSMIT in 15s
000 #1: pending Phase 2 for "vpn2uz-xl2tp-transport" replacing #0
000
Security Associations:
  none

и от своей беспомочности начинают кипеть мозги ()*?:
одна надежда на ВАС!!!!

лирика. на серевере настроен NAT + MASQUERADING.
пропускается все в одну  и другую сторону через 3G модем.
с ВИДОВССА все работает??


Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "xl2tpd"  +/
Сообщение от xandry (ok), 18-Фев-13, 20:26 
> с ВИДОВССА все работает??

Дак вам видней должно быть.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "xl2tpd"  +/
Сообщение от yurybx (ok), 05-Мрт-19, 18:58 
Прошу прощение за некропост. Но я с осени ломаю голову над этой же проблемой. Железная дорога Украины даже подробную инструкцию опубликовала (правда под OpenSUSE):
http://vpninfo.uz.gov.ua/instructions/linux/opensuse/13.2/
Соединение устанавливается, мой ppp0 получает IP-адрес, а дальше charon делает четыре раза "sending keep alive", после чего xl2tpd говорит "Maximum retries exceeded for tunnel 19104.  Closing.".
При этом из-под Windows в этой же сети (через этот же NAT) соединение работает нормально. Как понять, где собака зарыта? Кому-нибудь удалось подключить какой-нибудь unix-like к Железной Дороге Украины?
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "xl2tpd"  +/
Сообщение от yurybx (ok), 18-Мрт-19, 11:33 
Разобрался!
Проблема была в том, что NG-интерфейс получал "правый" IP-адрес, совпадающий с публичным адресом L2TP/IPSec-сервера. Из-за этого ломалась маршрутизация для IPSec пакетов. Мне так и не удалось заставить MPD5 получать приватный правый IP-адрес, как и положено: он либо получает публичный, либо отваливается с ошибкой "parameter negotiation failed".
Короче, проблема решилась установкой CentOS и поднятием XL2TPd+LibreSwan.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "xl2tpd"  +/
Сообщение от svat (ok), 20-Мрт-19, 17:06 
> Кому-нибудь удалось подключить
> какой-нибудь unix-like к Железной Дороге Украины?

уже - да. с пом. костыля, правда.

Судя по результатам гугления, с понедельника шел тем же путем, что и вы до этого, практически с теми же результатами.

Сегодня получилось на конфигурации
FreeBSD 11.2 + strongSwan + mpd5 + up-script


Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

22. "xl2tpd"  +/
Сообщение от yurybx (ok), 20-Мрт-19, 21:53 
А как Вам удалось добиться, чтобы MPD5 присваивал приватный IP-адрес для правой стороны NG-интерфейса? У меня он напрочь отказывается это делать. Можете поделиться конфигурацией MPD?

> Сегодня получилось на конфигурации
> FreeBSD 11.2 + strongSwan + mpd5 + up-script

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "xl2tpd"  +/
Сообщение от svat (ok), 21-Мрт-19, 01:19 
> А как Вам удалось добиться, чтобы MPD5 присваивал приватный IP-адрес для правой
> стороны NG-интерфейса? У меня он напрочь отказывается это делать. Можете поделиться
> конфигурацией MPD?

1) не удалось
2) поэтому, как и писал, подставлен костыль в виде  up-script, который сразу же прибивает автосозданный маршрут на кривую правую сторону, переназначает на нужное значение (с пом. ifconfig ng0), основываясь на эмпирическом знании, что с той стороны всегда 10.0.0.1 в качестве конца туннеля.


PS. и конфиг ipsec.conf пришлось немного подкрутить по сравнению с вашим, т.к. у меня харон не передоговаривался в следующий раз после первого же разрыва\отключения L2TP, при котором очевидно и ipsec сбрасывался той стороной. (auto=route)

PPS. не забываем NAT-ить клиентов в туннель


mpd.conf:

L2TP_client:
        create bundle static B1
        set iface up-script /usr/local/etc/mpd5/l2tp-up.sh
        set iface down-script /usr/local/etc/mpd5/l2tp-down.sh
...

l2tp-up.sh:
#!/bin/sh

# $1 - interface
# $2 - proto
# $3 - local-ip
# $4 - remote-ip
# $5 - authname

DynamicLocalIP=$3
DynamicRemoteIP=$4        # Bad value
StaticRemoteIP="10.0.0.1" # good value - UZ VPN-hub IP
Today=`date "+%Y-%m-%d"`
TimeNow=`date "+%H:%M:%S"`

StaticRoutes="
10.10.0.1
10.5.114.18
10.1.100.58
10.1.100.4
10.1.100.5
10.1.100.26
10.1.76.34
10.1.180.37
10.3.13.41
"

route delete $DynamicRemoteIP
ifconfig ng0 $DynamicLocalIP  $StaticRemoteIP

echo "====================================================================="
echo $Today $TimeNow -L2TP-Up-  >> /var/log/vpn.log
echo "Adding static routes: " >> /var/log/vpn.log

for i in ${StaticRoutes}
do
  route add -host $i $StaticRemoteIP >> /var/log/vpn.log

done

echo Up-Script: RemoteIP = $DynamicRemoteIP overrided with static IP = $StaticRemoteIP >> /var/log/vpn.log


Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру