Пытаюсь установить L2TP/IPsec соединение через NM. Не устанавливается. В дебаге вижу: /usr/sbin/ipsec: line 27: uname: команда не найдена /usr/sbin/ipsec: unknown IPsec command `setup' (`ipsec --help' for list) /usr/sbin/ipsec: line 27: uname: команда не найдена /usr/sbin/ipsec: unknown IPsec command `whack' (`ipsec --help' for list)
1) похоже на кривой PATH при вызове; 2) похоже, что зовут не так, как ожидает нынешний strongswan.
Похоже, что для NM-l2tp нужен openswan, а не strongswan. Openswan'а у нас нет, так что я могу только убрать зависимость на strongswan. Работать оно, разумеется, все равно не будет.
Может, это оно? -- http://packages.debian.org/squeeze/network-manager-strongswan
Ну есть еще и NetworkManager-openswan. Только ни первый, ни второй никакого отношения к l2tp не имеют, насколько я понимаю.
А пакет kde4-plasma-nm-connect-l2tp откуда? rpm -qi дает ссылку на кривой гномовский ресурс (такой страницы нет уже).
(В ответ на комментарий №1) > 1) похоже на кривой PATH при вызове; > 2) похоже, что зовут не так, как ожидает нынешний strongswan. Там в скрипте PATH=${PATH:-"/sbin:/bin:/usr/sbin:/usr/bin"} export PATH
Опять хотел сделать все "по науке", создав соединения через NetworkManager в текущем Сизифе. Само соединение через USB-модем поднимается, а L2TP/IPsec нет: Aug 8 10:36:46 yarilo nm-dispatcher: Dispatching action 'up' for usb0 Aug 8 10:37:04 yarilo NetworkManager[599]: <info> Starting VPN service 'l2tp'... Aug 8 10:37:04 yarilo NetworkManager[599]: <info> VPN service 'l2tp' started (org.freedesktop.NetworkManager.l2tp), PID 3012 Aug 8 10:37:04 yarilo NetworkManager[599]: <info> VPN service 'l2tp' appeared; activating connections Aug 8 10:37:04 yarilo NetworkManager[599]: <info> VPN plugin state changed: starting (3) Aug 8 10:37:05 yarilo NetworkManager[599]: <info> VPN connection 'Safianovo' (Connect) reply received. Aug 8 10:37:05 yarilo NetworkManager[599]: <warn> VPN connection 'Safianovo' failed to connect: 'Cannot save /etc/ipsec.secrets'. Aug 8 10:37:05 yarilo NetworkManager[599]: <warn> error disconnecting VPN: Could not process the request because no VPN connection was active. Aug 8 10:37:25 yarilo NetworkManager[599]: <info> VPN service 'l2tp' disappeared Aug 8 10:38:01 yarilo NetworkManager[599]: <info> Starting VPN service 'l2tp'... Aug 8 10:38:01 yarilo NetworkManager[599]: <info> VPN service 'l2tp' started (org.freedesktop.NetworkManager.l2tp), PID 3037 Aug 8 10:38:01 yarilo NetworkManager[599]: <info> VPN service 'l2tp' appeared; activating connections Aug 8 10:38:01 yarilo NetworkManager[599]: <info> VPN plugin state changed: starting (3) Aug 8 10:38:01 yarilo NetworkManager[599]: <info> VPN connection 'Safianovo' (Connect) reply received. Aug 8 10:38:01 yarilo NetworkManager[599]: <warn> VPN connection 'Safianovo' failed to connect: 'Cannot save /etc/ipsec.secrets'. Aug 8 10:38:01 yarilo NetworkManager[599]: <warn> error disconnecting VPN: Could not process the request because no VPN connection was active. Прав не хватает? Видать юзеру нужно быть в какой-то группе?
*** Bug 31319 has been marked as a duplicate of this bug. ***
https://bugzilla.redhat.com/show_bug.cgi?id=887674
Просьба проверить task #152973 (https://www.altlinux.org/Карманы). Там приложен патч из https://github.com/seriyps/NetworkManager-l2tp/pull/39
Поставил, вроде ничего другое не упало, но IPsec почему-то не поднимается. Правда, может потому что я пробовал в Интернет ходить через андроидный планшет. Там вроде были какие-то проблемы с пробросом VPN'ов. Буду проверять еще. Nov 11 09:55:05 yarilo NetworkManager[648]: <info> Starting VPN service 'l2tp'... Nov 11 09:55:05 yarilo NetworkManager[648]: <info> VPN service 'l2tp' started (org.freedesktop.NetworkManager.l2tp), PID 2586 Nov 11 09:55:05 yarilo NetworkManager[648]: <info> VPN service 'l2tp' appeared; activating connections Nov 11 09:55:05 yarilo NetworkManager[648]: <info> VPN plugin state changed: starting (3) Nov 11 09:55:05 yarilo charon: 00[DMN] signal of type SIGINT received. Shutting down Nov 11 09:55:05 yarilo kernel: [ 153.903884] audit: type=1131 audit(1447224905.256:87): pid=1 uid=0 auid=4294967295 ses=4294967295 msg='unit=ipsec comm="systemd" exe="/lib/systemd/systemd" hostname=? addr=? terminal=? res=success' Nov 11 09:55:08 yarilo charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.3.3, Linux 4.1.13-std-def-alt1, x86_64) Nov 11 09:55:08 yarilo charon: 00[CFG] loading ca certificates from '/etc/strongswan/ipsec.d/cacerts' Nov 11 09:55:08 yarilo charon: 00[CFG] loading aa certificates from '/etc/strongswan/ipsec.d/aacerts' Nov 11 09:55:08 yarilo charon: 00[CFG] loading ocsp signer certificates from '/etc/strongswan/ipsec.d/ocspcerts' Nov 11 09:55:08 yarilo charon: 00[CFG] loading attribute certificates from '/etc/strongswan/ipsec.d/acerts' Nov 11 09:55:08 yarilo charon: 00[CFG] loading crls from '/etc/strongswan/ipsec.d/crls' Nov 11 09:55:08 yarilo charon: 00[CFG] loading secrets from '/etc/strongswan/ipsec.secrets' Nov 11 09:55:08 yarilo charon: 00[CFG] loaded RSA private key from '/etc/strongswan/ipsec.d/private/myKey.der' Nov 11 09:55:08 yarilo charon: 00[CFG] loaded 0 RADIUS server configurations Nov 11 09:55:08 yarilo charon: 00[CFG] HA config misses local/remote address Nov 11 09:55:08 yarilo charon: 00[LIB] loaded plugins: charon ldap pkcs11 aes des rc2 sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent xcbc cmac hmac ctr ccm gcm ntru curl attr kernel-pfkey kernel-netlink resolve socket-default farp stroke vici smp updown eap-identity eap-sim eap-aka eap-md5 eap-gtc eap-mschapv2 eap-radius eap-tls eap-ttls eap-tnc xauth-generic tnc-tnccs dhcp addrblock Nov 11 09:55:08 yarilo charon: 00[LIB] dropped capabilities, running as uid 0, gid 0 Nov 11 09:55:08 yarilo charon: 00[JOB] spawning 16 worker threads Nov 11 09:55:08 yarilo charon: 13[CFG] received stroke: add connection 'nm-ipsec-l2tp-2586' Nov 11 09:55:08 yarilo charon: 13[CFG] added configuration 'nm-ipsec-l2tp-2586' Nov 11 09:55:09 yarilo charon: 15[CFG] rereading secrets Nov 11 09:55:09 yarilo charon: 15[CFG] loading secrets from '/etc/strongswan/ipsec.secrets' Nov 11 09:55:09 yarilo charon: 15[CFG] loaded RSA private key from '/etc/strongswan/ipsec.d/private/myKey.der' Nov 11 09:55:09 yarilo charon: 11[CFG] received stroke: initiate 'nm-ipsec-l2tp-2586' Nov 11 09:55:09 yarilo charon: 09[IKE] initiating Main Mode IKE_SA nm-ipsec-l2tp-2586[1] to 109.165.71.7 Nov 11 09:55:09 yarilo charon: 09[ENC] generating ID_PROT request 0 [ SA V V V V ] Nov 11 09:55:09 yarilo charon: 09[NET] sending packet: from 192.168.43.195[500] to 109.165.71.7[500] (212 bytes) Nov 11 09:55:13 yarilo charon: 10[IKE] sending retransmit 1 of request message ID 0, seq 1 Nov 11 09:55:13 yarilo charon: 10[NET] sending packet: from 192.168.43.195[500] to 109.165.71.7[500] (212 bytes) Nov 11 09:55:20 yarilo charon: 09[IKE] sending retransmit 2 of request message ID 0, seq 1 Nov 11 09:55:20 yarilo charon: 09[NET] sending packet: from 192.168.43.195[500] to 109.165.71.7[500] (212 bytes) Nov 11 09:55:30 yarilo NetworkManager[648]: <info> VPN connection 'Safianovo' (Connect) reply received. Nov 11 09:55:30 yarilo NetworkManager[648]: <warn> VPN connection 'Safianovo' failed to connect: 'Did not receive a reply. Possible causes include: the remote application did not send a reply, the message bus security policy blocked the reply, the reply timeout expired, or the network connection was broken.'. Nov 11 09:55:33 yarilo charon: 05[IKE] sending retransmit 3 of request message ID 0, seq 1 Nov 11 09:55:33 yarilo charon: 05[NET] sending packet: from 192.168.43.195[500] to 109.165.71.7[500] (212 bytes) Nov 11 09:55:55 yarilo NetworkManager[648]: <warn> error disconnecting VPN: Did not receive a reply. Possible causes include: the remote application did not send a reply, the message bus security policy blocked the reply, the reply timeout expired, or the network connection was broken.
Какой ключ хочет strongswan для соединения?
Видимо еще поковыряться в strongswan'е нужно. Есть ли в плагине для NetworkManager'а возможность выставлять параметры в конфигах strongswan'а?
(В ответ на комментарий №12) > Какой ключ хочет strongswan для соединения? Не должно быть никаких ключей по умолчанию, вроде. Т.е. этот патч в том числе добавляет возможность использования сертификатов, но без поддержки в GUI, только ручной правкой конфига, по умолчанию это все выключено. Может это какие-то конфиги в /etc/strongswan/? (В ответ на комментарий №13) > Видимо еще поковыряться в strongswan'е нужно. Есть ли в плагине для > NetworkManager'а возможность выставлять параметры в конфигах strongswan'а? Очень ограниченно, только то, что можно записать в конфиге самого NM (см. в /etc/NetworкManager/system-connections/). Конфиг же для ipsec генерится автоматически (/var/run/nm-ipsec-l2tp.@PID@/ipsec.conf). Можно попробовать руками запустить /usr/lib/NetworkManager/nm-l2tp-service --debug в консоли перед попыткой подключения. Возможно он что-то расскажет.
Гы... Скрипт /usr/sbin/ipsec кривой? Посмотрел туда - там просто вызов uname стоит. Чего за беда? Пути bash? Вроде синтаксис PATH нормальный. [root@yarilo ~]# /usr/lib/NetworkManager/nm-l2tp-service --debug ** Message: nm-l2tp-service (version 0.9.8.5) starting... connection id : "Safianovo" (s) uuid : "fe206c28-d5bf-4976-86d9-934b79a903de" (s) interface-name : NULL (sd) type : "vpn" (s) permissions : (sd) autoconnect : TRUE (sd) timestamp : 0 (sd) read-only : FALSE (sd) zone : NULL (sd) master : NULL (sd) slave-type : NULL (sd) secondaries : (sd) gateway-ping-timeout : 0 (sd) vpn service-type : "org.freedesktop.NetworkManager.l2tp" (s) user-name : NULL (sd) persistent : FALSE (sd) data : gateway=XXXX.no-ip.biz,ipsec-psk=XXXXX,user=vomus,ipsec-enabled=yes,password-flags=0 (s) secrets : password=XXXX (s) ipv6 method : "auto" (s) dhcp-hostname : NULL (sd) dns : (s) dns-search : (sd) addresses : (s) routes : (s) route-metric : -1 (sd) ignore-auto-routes : FALSE (sd) ignore-auto-dns : FALSE (sd) never-default : FALSE (sd) may-fail : TRUE (sd) ip6-privacy : -1 (sd) ipv4 method : "auto" (s) dns : (s) dns-search : (sd) addresses : (s) routes : (s) route-metric : -1 (sd) ignore-auto-routes : FALSE (sd) ignore-auto-dns : FALSE (sd) dhcp-client-id : NULL (sd) dhcp-send-hostname : TRUE (sd) dhcp-hostname : NULL (sd) never-default : FALSE (sd) may-fail : TRUE (sd) ** Message: Use '31.23.xx.xx' as a gateway ** Message: Check port 1701 ** Message: ipsec enable flag: yes ** Message: starting ipsec /usr/sbin/ipsec: line 25: uname: команда не найдена /usr/sbin/ipsec: line 27: uname: команда не найдена /usr/sbin/ipsec: line 25: uname: команда не найдена /usr/sbin/ipsec: line 27: uname: команда не найдена Stopping strongSwan IPsec... /usr/sbin/ipsec: line 255: cat: команда не найдена /usr/sbin/ipsec: line 275: rm: команда не найдена /usr/sbin/ipsec: line 185: sleep: команда не найдена /usr/sbin/ipsec: line 25: uname: команда не найдена /usr/sbin/ipsec: line 27: uname: команда не найдена /usr/sbin/ipsec: line 217: touch: команда не найдена Starting strongSwan 5.3.4 IPsec [starter]... charon is already running (/var/run/charon.pid exists) -- skipping daemon start Loading config setup Loading conn 'nm-ipsec-l2tp-6446' found netkey IPsec stack starter is already running (/var/run/starter.charon.pid exists) -- no fork done /usr/sbin/ipsec: line 25: uname: команда не найдена /usr/sbin/ipsec: line 27: uname: команда не найдена /usr/sbin/ipsec: line 25: uname: команда не найдена /usr/sbin/ipsec: line 27: uname: команда не найдена no config named 'nm-ipsec-l2tp-6446' ** Message: ipsec ready for action /usr/sbin/ipsec: line 25: uname: команда не найдена /usr/sbin/ipsec: line 27: uname: команда не найдена ** Message: xl2tpd started with pid 6476 xl2tpd[6476]: setsockopt recvref[30]: Protocol not available xl2tpd[6476]: Using l2tp kernel support. xl2tpd[6476]: xl2tpd version xl2tpd-1.3.6 started on yarilo PID:6476 xl2tpd[6476]: Written by Mark Spencer, Copyright (C) 1998, Adtran, Inc. xl2tpd[6476]: Forked by Scott Balmos and David Stipp, (C) 2001 xl2tpd[6476]: Inherited by Jeff McAdams, (C) 2002 xl2tpd[6476]: Forked again by Xelerance (www.xelerance.com) (C) 2006 xl2tpd[6476]: Listening on IP address 0.0.0.0, port 1701 xl2tpd[6476]: get_call: allocating new tunnel for host 31.23.160.63, port 1701. xl2tpd[6476]: Connecting to host 31.23.160.63, port 1701 xl2tpd[6476]: control_finish: message type is (null)(0). Tunnel is 0, call is 0. xl2tpd[6476]: control_finish: sending SCCRQ xl2tpd[6476]: Maximum retries exceeded for tunnel 38571. Closing. xl2tpd[6476]: Connection 0 closed to 31.23.160.63, port 1701 (Timeout) ** (nm-l2tp-service:6446): WARNING **: pppd timeout. Looks like pppd didn't initialize our dbus module xl2tpd[6476]: Unable to deliver closing message for tunnel 38571. Destroying anyway. ^C (nm-l2tp-service:6446): GLib-CRITICAL **: Source ID 8 was not found when attempting to remove it (nm-l2tp-service:6446): GLib-GObject-CRITICAL **: g_object_unref: assertion 'G_IS_OBJECT (object)' failed (nm-l2tp-service:6446): GLib-GObject-CRITICAL **: g_object_unref: assertion 'G_IS_OBJECT (object)' failed ** Message: Terminated l2tp daemon with PID 6476. xl2tpd[6476]: death_handler: Fatal signal 15 received ** Message: ipsec prepare for shut down ** Message: ipsec shut down
Это плагин его с таким PATH запускал. Обновитесь из таска.
Дык обновился оттуда!
Там уже новый пакет.
Дык только сегодня, видать доехал task... Обновился. Ошибки PATH пропали, но коннект пока установить не удается. Видимо, поскольку пытаюсь соединиться через AP в андроидном планшете. Поищу модем... ** Message: Use '31.xx.xx.xx' as a gateway ** Message: Check port 1701 ** Message: ipsec enable flag: yes ** Message: starting ipsec Stopping strongSwan IPsec failed: starter is not running Starting strongSwan 5.3.4 IPsec [starter]... Loading config setup Loading conn 'nm-ipsec-l2tp-4204' found netkey IPsec stack initiating Main Mode IKE_SA nm-ipsec-l2tp-4204[1] to 31.23.160.63 generating ID_PROT request 0 [ SA V V V V ] sending packet: from 192.168.43.195[500] to 31.23.160.63[500] (212 bytes) sending retransmit 1 of request message ID 0, seq 1 sending packet: from 192.168.43.195[500] to 31.23.160.63[500] (212 bytes) sending retransmit 2 of request message ID 0, seq 1 sending packet: from 192.168.43.195[500] to 31.23.160.63[500] (212 bytes) sending retransmit 3 of request message ID 0, seq 1 sending packet: from 192.168.43.195[500] to 31.23.160.63[500] (212 bytes) sending retransmit 4 of request message ID 0, seq 1 sending packet: from 192.168.43.195[500] to 31.23.160.63[500] (212 bytes)
А откуда плагин берет соединения, которые загружает: Starting strongSwan 5.3.4 IPsec [starter]... Loading config setup Loading conn 'nm-ipsec-l2tp-4204'
NetworkManager-l2tp-1.1.0-alt1.git20150916 -> sisyphus: * Thu Jan 21 2016 Mikhail Efremov <sem@altlinux> 1.1.0-alt1.git20150916 - Require strongswan again. - Upstream git snapshot (master branch) (closes: #30613).
Не замечаю, что работает. ОБновился до NetworkManager-l2tp-1.1.0-alt1.git20150916, запускаю /usr/lib/NetworkManager/nm-l2tp-service --debug и стартую коннект. В дебаге вообще ничего нет (а раньше было). В сислоге только an 25 10:00:32 yarilo NetworkManager[607]: <info> Starting VPN service 'l2tp'... Jan 25 10:00:32 yarilo NetworkManager[607]: <info> VPN service 'l2tp' started (org.freedesktop.NetworkManager.l2tp), PID 4324 Jan 25 10:00:38 yarilo NetworkManager[607]: <warn> VPN service 'l2tp' start timed out Стоит strongswan: [root@yarilo log]# rpm -qa | grep strongswan kf5-plasma-nm-connect-strongswan-5.5.3-alt1 strongswan-testing-5.3.5-alt1 kde4-plasma-nm-connect-strongswan-0.9.3.6-alt1 strongswan-5.3.5-alt1
Похоже он даже не пытается взаимодействовать с NM. Что-то в нем не доделали для поддержки NM-1.2, похоже.
Если апстрим тут: https://bugzilla.redhat.com/show_bug.cgi?id=887674 , то там уже предложили какой-то патч.
Там человек патчит в основном по поводу поддержки старого NM-0.9 и libreswan, насколько я понимаю. У нас NM-1.2 и srongswan.
ну так если нужно собрать libreswan, чтобы заработало, может, просто собрать? Что по сути удерживает от исправления баги?
https://wiki.strongswan.org/projects/strongswan/wiki/NetworkManager в качестве объезда можно попробовать... Я ведь правильно понимаю, что теперь в NM можно поднять один VPN (IPSec), а за ним второй (L2TP) ?
Дык а Сизифе strongswan 5.4.0 и NM 1.1.91. Опять рассогласование!
(In reply to comment #27) > https://wiki.strongswan.org/projects/strongswan/wiki/NetworkManager в качестве > объезда можно попробовать... См. #3 и #4. > Я ведь правильно понимаю, что теперь в NM можно поднять один VPN (IPSec), а за > ним второй (L2TP) ? https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol#L2TP.2FIPsec (In reply to comment #28) > Дык а Сизифе strongswan 5.4.0 и NM 1.1.91. Опять рассогласование! Не понял. Чего с чем?
В Сизиф отправлена версия 1.2.0. Просьба проверить как работает.
Created attachment 6721 [details] Скриншот...
Не работает. Почему-то "Пароли не были указаны". На скриншоте видны попытки старта сессии от strongswan...
Вообще там видно, что peer не отвечает. С паролями может быть проблема плазмоида.
(В ответ на комментарий №33) > Вообще там видно, что peer не отвечает. С паролями может быть проблема > плазмоида. Но он что-то ведь должен в ответ написать! А то просто стучиться туда и не получает ответа. Так быть не может, поскольку с андроидного телефона я немедленно туда попадаю. Хожу через этот же андроидный телефон и через wifi, и через USB-Ethernet май 25 14:27:55 yarilo.localdomain charon[5750]: 06[IKE] sending retransmit 4 of request message ID 0, seq 1 май 25 14:27:55 yarilo.localdomain charon[5750]: 06[NET] sending packet: from 192.168.42.163[500] to 46.41.125.215[500] (216 bytes) май 25 14:28:00 yarilo.localdomain charon[5750]: 10[IKE] sending retransmit 5 of request message ID 0, seq 1 май 25 14:28:00 yarilo.localdomain charon[5750]: 10[NET] sending packet: from 192.168.42.163[500] to 46.41.125.215[500] (216 bytes) май 25 14:28:03 yarilo.localdomain NetworkManager[858]: <error> [1464175683.0013] vpn-connection[0xa3d7e0,2fba478d-b28d-4948-b5ae-7bdb403b3fd2,"Сафьяново",0]: plugin NeedSecrets request #1 failed: Время ожидания истекло ~
Полный лог: май 26 11:40:24 yarilo.localdomain NetworkManager[695]: <info> [1464252024.6024] audit: op="connection-activate" uuid="2fba478d-b28d-4948-b5ae-7bdb403b3fd2" name="Сафьяново" pid=3807 uid=500 result="success" май 26 11:40:24 yarilo.localdomain NetworkManager[695]: <info> [1464252024.6120] vpn-connection[0xa981f0,2fba478d-b28d-4948-b5ae-7bdb403b3fd2,"Сафьяново",0]: Started the VPN service, PID 3816 май 26 11:40:24 yarilo.localdomain NetworkManager[695]: <info> [1464252024.6295] vpn-connection[0xa981f0,2fba478d-b28d-4948-b5ae-7bdb403b3fd2,"Сафьяново",0]: Saw the service appear; activating connection май 26 11:40:24 yarilo.localdomain NetworkManager[695]: ** Message: ipsec enable flag: yes май 26 11:40:24 yarilo.localdomain NetworkManager[695]: ** Message: Check port 1701 май 26 11:40:24 yarilo.localdomain NetworkManager[695]: ** Message: starting ipsec май 26 11:40:24 yarilo.localdomain NetworkManager[695]: Stopping strongSwan IPsec failed: starter is not running май 26 11:40:26 yarilo.localdomain NetworkManager[695]: Starting strongSwan 5.4.0 IPsec [starter]... май 26 11:40:26 yarilo.localdomain NetworkManager[695]: Loading config setup май 26 11:40:26 yarilo.localdomain NetworkManager[695]: Loading conn 'nm-ipsec-l2tp-3816' май 26 11:40:26 yarilo.localdomain ipsec_starter[3826]: Starting strongSwan 5.4.0 IPsec [starter]... май 26 11:40:26 yarilo.localdomain ipsec_starter[3826]: Loading config setup май 26 11:40:26 yarilo.localdomain ipsec_starter[3826]: Loading conn 'nm-ipsec-l2tp-3816' май 26 11:40:26 yarilo.localdomain kernel: NET: Registered protocol family 15 май 26 11:40:26 yarilo.localdomain NetworkManager[695]: found netkey IPsec stack май 26 11:40:26 yarilo.localdomain ipsec_starter[3826]: found netkey IPsec stack май 26 11:40:26 yarilo.localdomain kernel: Initializing XFRM netlink socket май 26 11:40:26 yarilo.localdomain ipsec_starter[3852]: Attempting to start charon... май 26 11:40:26 yarilo.localdomain charon[3853]: 00[DMN] Starting IKE charon daemon (strongSwan 5.4.0, Linux 4.4.10-std-def-alt1, x86_64) май 26 11:40:26 yarilo.localdomain kernel: AVX2 instructions are not detected. май 26 11:40:26 yarilo.localdomain kernel: AVX2 or AES-NI instructions are not detected. май 26 11:40:27 yarilo.localdomain charon[3853]: 00[CFG] loading ca certificates from '/etc/strongswan/ipsec.d/cacerts' май 26 11:40:27 yarilo.localdomain charon[3853]: 00[CFG] loading aa certificates from '/etc/strongswan/ipsec.d/aacerts' май 26 11:40:27 yarilo.localdomain charon[3853]: 00[CFG] loading ocsp signer certificates from '/etc/strongswan/ipsec.d/ocspcerts' май 26 11:40:27 yarilo.localdomain charon[3853]: 00[CFG] loading attribute certificates from '/etc/strongswan/ipsec.d/acerts' май 26 11:40:27 yarilo.localdomain charon[3853]: 00[CFG] loading crls from '/etc/strongswan/ipsec.d/crls' май 26 11:40:27 yarilo.localdomain charon[3853]: 00[CFG] loading secrets from '/etc/strongswan/ipsec.secrets' май 26 11:40:27 yarilo.localdomain charon[3853]: 00[CFG] loaded IKE secret for %any %any май 26 11:40:27 yarilo.localdomain charon[3853]: 00[CFG] loaded 0 RADIUS server configurations май 26 11:40:27 yarilo.localdomain charon[3853]: 00[CFG] HA config misses local/remote address май 26 11:40:27 yarilo.localdomain charon[3853]: 00[LIB] loaded plugins: charon ldap pkcs11 aes des rc2 sha2 sha1 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent xcbc cmac hmac ctr ccm gcm ntru curl attr kernel-pfkey kernel-netlink resolve socket-default farp stroke vici smp updown eap-identity eap-sim eap-aka eap-md5 eap-gtc eap-mschapv2 eap-radius eap-tls eap-ttls eap-tnc xauth-generic tnc-tnccs dhcp addrblock май 26 11:40:27 yarilo.localdomain charon[3853]: 00[LIB] dropped capabilities, running as uid 0, gid 0 май 26 11:40:27 yarilo.localdomain charon[3853]: 00[JOB] spawning 16 worker threads май 26 11:40:27 yarilo.localdomain ipsec_starter[3852]: charon (3853) started after 140 ms май 26 11:40:27 yarilo.localdomain charon[3853]: 11[CFG] received stroke: add connection 'nm-ipsec-l2tp-3816' май 26 11:40:27 yarilo.localdomain charon[3853]: 11[CFG] added configuration 'nm-ipsec-l2tp-3816' май 26 11:40:27 yarilo.localdomain charon[3853]: 09[CFG] rereading secrets май 26 11:40:27 yarilo.localdomain charon[3853]: 09[CFG] loading secrets from '/etc/strongswan/ipsec.secrets' май 26 11:40:27 yarilo.localdomain charon[3853]: 09[CFG] loaded IKE secret for %any %any май 26 11:40:27 yarilo.localdomain charon[3853]: 14[CFG] received stroke: initiate 'nm-ipsec-l2tp-3816' май 26 11:40:27 yarilo.localdomain charon[3853]: 15[IKE] initiating Main Mode IKE_SA nm-ipsec-l2tp-3816[1] to 46.41.95.215 май 26 11:40:27 yarilo.localdomain charon[3853]: 15[IKE] initiating Main Mode IKE_SA nm-ipsec-l2tp-3816[1] to 46.41.95.215 май 26 11:40:27 yarilo.localdomain charon[3853]: 15[ENC] generating ID_PROT request 0 [ SA V V V V ] май 26 11:40:27 yarilo.localdomain charon[3853]: 15[NET] sending packet: from 100.66.119.89[500] to 46.41.95.215[500] (216 bytes) май 26 11:40:31 yarilo.localdomain charon[3853]: 11[IKE] sending retransmit 1 of request message ID 0, seq 1 май 26 11:40:31 yarilo.localdomain charon[3853]: 11[NET] sending packet: from 100.66.119.89[500] to 46.41.95.215[500] (216 bytes) май 26 11:40:39 yarilo.localdomain charon[3853]: 05[IKE] sending retransmit 2 of request message ID 0, seq 1 май 26 11:40:39 yarilo.localdomain charon[3853]: 05[NET] sending packet: from 100.66.119.89[500] to 46.41.95.215[500] (216 bytes) май 26 11:40:49 yarilo.localdomain NetworkManager[695]: <warn> [1464252049.7266] vpn-connection[0xa981f0,2fba478d-b28d-4948-b5ae-7bdb403b3fd2,"Сафьяново",0]: VPN connection: failed to connect: 'Время ожидания истекло' май 26 11:40:52 yarilo.localdomain charon[3853]: 10[IKE] sending retransmit 3 of request message ID 0, seq 1
И конфиг nm-ipsec-l2tp.3816 [root@yarilo nm-ipsec-l2tp.3816]# cat ipsec.conf conn nm-ipsec-l2tp-3816 auto=add type=transport authby=secret keyingtries=0 left=%defaultroute leftprotoport=udp/l2tp rightprotoport=udp/l2tp right=46.41.95.215 keyexchange=ikev1
Снял дампы wireshark'а. Видно, что ipsec поднимает коннект с не верными параметрами. Видать у strongswan'а другие умолчания. Наверное, это не удивительно. Попытался поставить в /etc/strongswan/ipsec.conf правильные в качестве умолчаний: conn %default ike=3des-sha1-md5-modp1024,aes128-aes256-sha1-modp1024 Но почему-то strongswan не подхватил эти параметры. Он как-то по-другому вызывается из NM?
Похоже он вызывается с собственным автогенеренным конфигом, видимо /etc/strongswan/ipsec.conf в этом случае игнорируется.
А есть какой-то контакт в апстриме?
(In reply to comment #38) > Похоже он вызывается с собственным автогенеренным конфигом, видимо > /etc/strongswan/ipsec.conf в этом случае игнорируется. Насколько я помню, NM так делает со всеми VPN. Похоже, что это просто их подход.
