Задать вопрос
@Programmierus
windows-server

Не работает L2TP-VPN между Strongswan/Debian (клиент) и Windows 2012 (сервер). Authentication failed?

Пытаюсь подключиться как клиент с Debian Strech с помощью Strongswan к VPN-серверу (IPSec/L2TP), который запущен на Windows Server 2012R2. Сервер работает нормально, т.к. клиенты под Windows и даже MacOS соединяются с ним без проблем. Никаких особенных танцев с бубном не нужно.

Три часа пробился сегодня пытаясь законнектить к нему Strongswan и Debian Strech - уже что только не пробовал, ноль на массу. Конфиг внизу (сейчас убрал уже из него практически все - но пробовал уже совершенно разные комбинации). Ошибка - AUTHENTICATION FAILED. PSK ввожу разумеется верный.

ipsec.conf
config setup
conn %default
    authby=secret
conn intp
    left=%any
    leftfirewall=no
    right=server_hostname
    rightfirewall=yes
    type=tunnel
    auto=add

ipsec.secrets
include /var/lib/strongswan/ipsec.secrets.inc
: PSK VALID_PSK

ipsec up intp
initiating IKE_SA intp[1] to 194.84.28.242
generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
sending packet: from 144.76.196.175[500] to 194.84.28.242[500] (1300 bytes)
received packet: from 194.84.28.242[500] to 144.76.196.175[500] (38 bytes)
parsed IKE_SA_INIT response 0 [ N(INVAL_KE) ]
peer didn't accept DH group MODP_3072, it requested MODP_1024
initiating IKE_SA intp[1] to 194.84.28.242
generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
sending packet: from 144.76.196.175[500] to 194.84.28.242[500] (1044 bytes)
received packet: from 194.84.28.242[500] to 144.76.196.175[500] (360 bytes)
parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) V V ]
received MS NT5 ISAKMPOAKLEY v9 vendor ID
received MS-Negotiation Discovery Capable vendor ID
remote host is behind NAT
no IDi configured, fall back on IP address
authentication of '144.76.196.175' (myself) with pre-shared key
establishing CHILD_SA intp
generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr AUTH SA TSi TSr N(MOBIKE_SUP) N(ADD_6_ADDR) N(ADD_6_ADDR) N(EAP_ONLY) ]
sending packet: from 144.76.196.175[4500] to 194.84.28.242[4500] (412 bytes)
received packet: from 194.84.28.242[4500] to 144.76.196.175[4500] (68 bytes)
parsed IKE_AUTH response 1 [ N(AUTH_FAILED) ]
received AUTHENTICATION_FAILED notify error
establishing connection 'intp' failed


Заранее спасибо за науку ;)
  • Вопрос задан
  • 1342 просмотра
Комментировать
Подписаться 1 Сложный Комментировать
Пригласить эксперта
Ответы на вопрос 1
@gt0rs
Столкнулся с такой же проблемой, путем проб и ошибок получил такой конфиг (клиент и сервер за NAT, strongswan 5.7):
config setup

conn %default
    ikelifetime=60m
    keylife=20m
    rekeymargin=3m
    keyingtries=1
    ike=3des-sha1-modp1024!
    esp=3des-sha1!

conn l2tp_psk
    keyexchange=ikev1
    left=%defaultroute
    auto=add
    authby=psk
    type=transport
    leftprotoport=17/1701
    rightprotoport=17/1701
    right=XXX.XXX.XXX.XX # Публичный IP сервера
    rightid=XXX.XXX.XXX.XXX # IP сервера в локальной сети
    rightsendcert=never
Ответ написан
1 комментарий
1 комментарий
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Ведущий системный администратор
Москворечье Трейдинг Москва
от 170 000 ₽
Младший системный администратор
LuckyDucky Москва
от 50 000 до 70 000 ₽
Старший системный администратор
LuckyDucky Москва
До 160 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Сверстать лейдинг на Joomla
24 апр. 2024, в 22:11
2000 руб./за проект
Консультация ПЛИС (FPGA)
24 апр. 2024, в 22:00
500 руб./в час
SEO сайта услуг
24 апр. 2024, в 21:49
10000 руб./за проект
Ещё заказы