Mise en place d'un serveur VPN IPSec

[Xaelias]

Bonjour,

Bon, si je viens vers c'est une fois de plus que je commence à perdre la tête avec mes recherches google ^^

J'ai hésité à poster en réseau ou dans linux mais bon...

Je loue actuellement un serveur chez OVH, et le but est de mettre en place sur ce dernier un serveur VPN IPSec (j'ai pas le choix), auquel on pourrait se connecter via un couple login/password et un secret partagé. Autrement dit, je ne veux pas avoir de certificats.

J'ai suivi plusieurs tuto, essayé racoon, strongswan, l2tpd, xl2tpd, avec, sans certificats etc. Mais je n'ai jamais réussi à avoir quelque chose qui fonctionne, ne serait-ce qu'un minimum.

J'ai l'impression d'avoir tout essayé, mais j'avoue ne pas non plus comprendre grand chose à ce que je manipule :/

Le serveur est sous Debian, et d'habitude j'arrive à en faire ce que je veux mais là...

Avant d'essayer d'exposer ce que moi j'ai essayé de faire ou ce que j'espère avoir compris, est-ce que vous avez un tuto qui correspond à ce que je veux faire sous la main ?

Merci d'avance :-)

[EDIT] J'ai suivi ce tuto (http://wingloon.com/...n-debian-lenny/) qui a priori fait exactement ce que je voudrais. Sauf que je n'arrive pas à me connecter, que ce soit à partir de mac, d'android...

Mac me sort un the L2TP-VPN server did not respond. Try reconnecting blabla. Android me sort une erreur qui disparaît quand je réactive la data (oui je me suis senti trop con pour juste supprimer ce que je venais d'écrire :transi:). Je disais donc, Android me met que le serveur raccroche, que mes identifiants sont peut-être incorrect. Si je mets de faux identifiants, il me met que le nom d'utilisateur ou le mot de passe entré est incorrect. Donc visiblement il y a communication...

Voilà où j'en suis...

[EDIT2] Le problème ne vient a priori pas de ma connexion, puisque le comportement sur Android est le même, que je sois en wifi ou en data opérateur (free aussi ceci dit...).

[EDIT3]

A priori, cette ligne veut dire que la connexion IPSec s'effectue normalement :

STATE_QUICK_R2: IPsec SA established transport mode {ESP=>0x05f8e1fd <0xc16e8614 xfrm=3DES_0-HMAC_SHA1 NATOA=none NATD=37.8.191.3:33009 DPD=none}

Même si un peu au-dessus apparaît :

Dead Peer Detection (RFC 3706): not enabled because peer did not advertise it

ce qui n'est pas super rassurant ^^

A priori c'est donc le côté xl2tpd qui et authentification qui foire...

[Xaelias]

J'ai fais quelques edit à mon premier post :-)

De plus, j'ai depuis réinitialisé les fichiers de configuration, re-suivi le tuto, et j'ai quelques différences (j'avais déjà eu ça hier soir ceci dit).

J'avais essayé de repasser les IPs locales en 192.168.11.*, visiblement ce que je faisais ne fonctionnait pas...

Bref j'ai remis le fichier de config tel que sur le tuto, la première connexion a donné quelque chose dans auth.log :

Oct 31 09:46:11 ks3100664 pluto[9149]: "L2TP-PSK-CLIENTS"[1] 37.8.182.43 #1: responding to Main Mode from unknown peer IP_CLIENTOct 31 09:46:11 ks3100664 pluto[9149]: "L2TP-PSK-CLIENTS"[1] 37.8.182.43 #1: transition from state STATE_MAIN_R0 to state STATE_MAIN_R1Oct 31 09:46:11 ks3100664 pluto[9149]: "L2TP-PSK-CLIENTS"[1] 37.8.182.43 #1: STATE_MAIN_R1: sent MR1, expecting MI2Oct 31 09:46:13 ks3100664 pluto[9149]: "L2TP-PSK-CLIENTS"[1] 37.8.182.43 #1: NAT-Traversal: Result using RFC 3947 (NAT-Traversal): peer is NATedOct 31 09:46:13 ks3100664 pluto[9149]: "L2TP-PSK-CLIENTS"[1] 37.8.182.43 #1: transition from state STATE_MAIN_R1 to state STATE_MAIN_R2Oct 31 09:46:13 ks3100664 pluto[9149]: "L2TP-PSK-CLIENTS"[1] 37.8.182.43 #1: STATE_MAIN_R2: sent MR2, expecting MI3Oct 31 09:46:13 ks3100664 pluto[9149]: "L2TP-PSK-CLIENTS"[1] 37.8.182.43 #1: Main mode peer ID is ID_IPV4_ADDR: '10.105.160.59'Oct 31 09:46:13 ks3100664 pluto[9149]: "L2TP-PSK-CLIENTS"[1] 37.8.182.43 #1: switched from "L2TP-PSK-CLIENTS" to "L2TP-PSK-CLIENTS"Oct 31 09:46:13 ks3100664 pluto[9149]: "L2TP-PSK-CLIENTS"[2] 37.8.182.43 #1: deleting connection "L2TP-PSK-CLIENTS" instance with peer IP_CLIENT {isakmp=#0/ipsec=#0}Oct 31 09:46:13 ks3100664 pluto[9149]: "L2TP-PSK-CLIENTS"[2] 37.8.182.43 #1: transition from state STATE_MAIN_R2 to state STATE_MAIN_R3Oct 31 09:46:13 ks3100664 pluto[9149]: "L2TP-PSK-CLIENTS"[2] 37.8.182.43 #1: new NAT mapping for #1, was IP_CLIENT:63716, now IP_CLIENT:63717Oct 31 09:46:13 ks3100664 pluto[9149]: "L2TP-PSK-CLIENTS"[2] 37.8.182.43 #1: STATE_MAIN_R3: sent MR3, ISAKMP SA established {auth=OAKLEY_PRESHARED_KEY cipher=oakley_3des_cbc_192 prf=oakley_sha group=modp1024}Oct 31 09:46:13 ks3100664 pluto[9149]: "L2TP-PSK-CLIENTS"[2] 37.8.182.43 #1: Dead Peer Detection (RFC 3706): not enabled because peer did not advertise itOct 31 09:46:13 ks3100664 pluto[9149]: "L2TP-PSK-CLIENTS"[2] 37.8.182.43 #1: ignoring informational payload, type IPSEC_INITIAL_CONTACT msgid=00000000Oct 31 09:46:13 ks3100664 pluto[9149]: "L2TP-PSK-CLIENTS"[2] 37.8.182.43 #1: received and ignored informational messageOct 31 09:46:14 ks3100664 pluto[9149]: "L2TP-PSK-CLIENTS"[2] 37.8.182.43 #1: the peer proposed: IP_CLIENT:17/1701 -> 10.105.160.59/32:17/0Oct 31 09:46:14 ks3100664 pluto[9149]: "L2TP-PSK-CLIENTS"[2] 37.8.182.43 #2: responding to Quick Mode proposal {msgid:8608e38d}Oct 31 09:46:14 ks3100664 pluto[9149]: "L2TP-PSK-CLIENTS"[2] 37.8.182.43 #2:	 us: 37.59.63.209[+S=C]:17/1701---37.59.63.254Oct 31 09:46:14 ks3100664 pluto[9149]: "L2TP-PSK-CLIENTS"[2] 37.8.182.43 #2:   them: IP_CLIENT[10.105.160.59,+S=C]:17/0===10.105.160.59/32Oct 31 09:46:14 ks3100664 pluto[9149]: "L2TP-PSK-CLIENTS"[2] 37.8.182.43 #2: transition from state STATE_QUICK_R0 to state STATE_QUICK_R1Oct 31 09:46:14 ks3100664 pluto[9149]: "L2TP-PSK-CLIENTS"[2] 37.8.182.43 #2: STATE_QUICK_R1: sent QR1, inbound IPsec SA installed, expecting QI2Oct 31 09:46:14 ks3100664 pluto[9149]: "L2TP-PSK-CLIENTS"[2] 37.8.182.43 #2: netlink_raw_eroute: WARNING: that_client port 0 and that_host port 63717 don't match. Using that_client port.Oct 31 09:46:14 ks3100664 pluto[9149]: "L2TP-PSK-CLIENTS"[2] 37.8.182.43 #2: Dead Peer Detection (RFC 3706): not enabled because peer did not advertise itOct 31 09:46:14 ks3100664 pluto[9149]: "L2TP-PSK-CLIENTS"[2] 37.8.182.43 #2: transition from state STATE_QUICK_R1 to state STATE_QUICK_R2Oct 31 09:46:14 ks3100664 pluto[9149]: "L2TP-PSK-CLIENTS"[2] 37.8.182.43 #2: STATE_QUICK_R2: IPsec SA established transport mode {ESP=>0x03073ce3 <0x1ba8ebb2 xfrm=3DES_0-HMAC_SHA1 NATOA=none NATD=37.8.182.43:63717 DPD=none}

Avec ceci dans ppp.log :

using channel 49Using interface ppp0Connect: ppp0 <--> /dev/pts/2sent [LCP ConfReq id=0x1 <mru 1200> <asyncmap 0x0> <auth chap MD5> <magic 0x3785bd0f> <pcomp> <accomp>]rcvd [LCP ConfReq id=0x1 <mru 1400> <asyncmap 0x0> <magic 0xbf610f2a> <pcomp> <accomp>]sent [LCP ConfAck id=0x1 <mru 1400> <asyncmap 0x0> <magic 0xbf610f2a> <pcomp> <accomp>]rcvd [LCP ConfAck id=0x1 <mru 1200> <asyncmap 0x0> <auth chap MD5> <magic 0x3785bd0f> <pcomp> <accomp>]sent [LCP EchoReq id=0x0 magic=0x3785bd0f]sent [CHAP Challenge id=0x60 <xxx>, name = "l2tpd"]rcvd [LCP EchoRep id=0x0 magic=0xbf610f2a]rcvd [CHAP Response id=0x60 <xxx>, name = "user"]sent [CHAP Success id=0x60 "Access granted"]MPPE required, but MS-CHAP[v2] auth not performed.sent [LCP TermReq id=0x2 "MPPE required but not available"]rcvd [CCP ConfReq id=0x1 <bsd v1 15>]Discarded non-LCP packet when LCP not openrcvd [iPCP ConfReq id=0x1 <compress VJ 0f 01> <addr 0.0.0.0> <ms-dns1 0.0.0.0> <ms-dns2 0.0.0.0>]Discarded non-LCP packet when LCP not openrcvd [LCP TermAck id=0x2]Connection terminated.Connect time 0.1 minutes.Sent 0 bytes, received 0 bytes.

Alors que MPPE n'est required nul part en plus :/

De plus, hier j'avais un message me disant que les identifiants étaient incorrects si je me connectais avec un utilisateur qui n'existait pas, maintenant je n'ai rien de spécial.

Mais ppp.log ressemble à ça :

using channel 48Using interface ppp0Connect: ppp0 <--> /dev/pts/2sent [LCP ConfReq id=0x1 <mru 1200> <asyncmap 0x0> <auth chap MD5> <magic 0x1f9ead75> <pcomp> <accomp>]rcvd [LCP ConfReq id=0x1 <mru 1400> <asyncmap 0x0> <magic 0x5559204> <pcomp> <accomp>]sent [LCP ConfAck id=0x1 <mru 1400> <asyncmap 0x0> <magic 0x5559204> <pcomp> <accomp>]rcvd [LCP ConfAck id=0x1 <mru 1200> <asyncmap 0x0> <auth chap MD5> <magic 0x1f9ead75> <pcomp> <accomp>]sent [LCP EchoReq id=0x0 magic=0x1f9ead75]sent [CHAP Challenge id=0xad <xxx>, name = "l2tpd"]rcvd [LCP EchoRep id=0x0 magic=0x5559204]rcvd [CHAP Response id=0xad <xxx>, name = "faux_user"]No CHAP secret found for authenticating lesieurPeer faux_user failed CHAP authenticationsent [CHAP Failure id=0xad ""]sent [LCP TermReq id=0x2 "Authentication failed"]rcvd [LCP TermReq id=0x2 "Failed to authenticate ourselves to peer"]sent [LCP TermAck id=0x2]rcvd [LCP TermAck id=0x2]Connection terminated.

De plus le tunnel est visiblement maintenu, puisque rien de nouveau dans auth.log.

[EDIT]

Si je mets un require mppe = off dans les options de xl2tpd, la connexion ne se fait plus du tout :/

Il semble aussi que je ne parvienne pas à initier la connexion depuis ma freebox... Je ne sais pas trop d'où ça vient. Vu qu'elle n'est pas configurée en routeur, que je suis connecté à un routeur wifi mais qu'il est a priori configuré pour laisser passer le l2tp...

[dudul88]

Voici un autre tuto qui peux peut-être t'aider.

[Xaelias]

Nan ça ne m'a pas aidé. Mais merci quand même ^^ En plus il n'aborde pas la partie iptables...

Sinon je comprends pas ce qui se passe. J'ai re copié collé les fichiers de configs que j'avais hier soir, et si la partie ipsec se comporte de la même manière, la partie ppp/xl2tpd ne réagit plus.

C'est quand même énorme que ce soit si compliqué de mettre ce genre de solution en place :/

[dudul88]

Donne voir le contenu de ton /etc/ipsec.conf.

Edit : et puis pendant que tu y es : /etc/xl2tpd/xl2tpd.conf

[Xaelias]

J'ai réussi à planter mon serveur

Mais aux dernières nouvelles, il doit ressembler à :

/etc/ipsec.confconfig setupnat_traversal=yesvirtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12oe=offprotostack=autonhelpers=0conn L2TP-PSK-CLIENTSauthby=secretpfs=noauto=addkeyingtries=3rekey=notype=transportleft=%defaultrouteleftnexthop=%defaultrouteleftprotoport=17/1701right=%anyrightsubnet=vhost:%priv,%norightprotoport=17/0dpddelay=40dpdtimeout=130dpdaction=clear

et

/etc/xl2tpd/xl2tpd.conf[lns default]ip range = 10.20.30.2-10.20.30.254local ip = 10.20.30.1require chap = yesrequire authentication = yesrefuse pap = yesname = l2tpdhostname = YourVPNHostnameppp debug = yeslength bit = yespppoptfile = /etc/xl2tpd/ppp-options.xl2tpd/etc/xl2tpd/ppp-options.xl2tpdcrtsctsidle 1800mtu 1200mru 1200nodefaultroutedebuglockproxyarpconnect-delay 5000ms-dns 8.8.4.4ms-dns 8.8.8.8name l2tpdlcp-echo-interval 30lcp-echo-failure 4logfile /var/log/ppp.log

[dudul88]

Est-ce la commande "ipsec verify" te renvoie des erreurs ?

[Xaelias]

Avec la version d'Openswan dans les dépots, aucune (le disabled sur l'or), sur la dernière version compilée sur le serveur, une ou deux, nottament sur l'IP forwarding, ce qui semble bizarre étant donné que ça n'est qu'un 1 à mettre dans qqchose comme /proc/sys/ipv4/ip_forward de mémoire. Et qu'en le passant à 0 l'erreur disparaît (mais il met pas ok pour autant)...

La prochaine étape dans mes essais c'est de toute façon de repartir sur une debian propre (le serveur est presque là que pour ça, je réinstallerai le reste), et de voir ce que ça donne...

Je sauvegarde quelques fichiers et je fais ça ^^

[dudul88]

Non ça ne va pas te faire avancer, je viens d'essayer et j'ai le même problème avec un client Windows. Je vais regarder mais c'est pas évident à solutionner apparemment.

[Xaelias]

Merci d'essayer en tous cas :-)

En tous cas, si tu trouves, tu sais où me trouver Et puis autant je comprends un peu ce que je fais dans la plupart des fichiers de configurations, autant le côté iptables des choses par exemple je comprends pas ce que je fais ^^

[dudul88]

iptables est utilisé seulement pour configurer le pare-feu de linux. En fait la seule chose que tu fais avec c'est de dire au noyau de router les paquet vers internet. Le problème ne viens pas de là.

Par contre dans ton auth.log tu n'as rien après ? Ça parait bizarre qu'il s'arrête comme ça, moi j'ai un message d'erreur.

[Xaelias]

Nop rien. C'est aussi pour ça que je veux recommencer sur une base vraiment fraiche. J'ai fait des bidouilles assez grasses avant, avec de l'openvpn, du racoon, du pptpd... je préfère recommencer à neuf :-)

Tu as quoi toi comme message d'erreur ?

[dudul88]

J'ai ça :

ERROR: netlink XFRM_MSG_DELPOLICY response for flow eroute_connection delete included errno 2: No such file or directory

[Xaelias]

Je viens de ré-essayer, en utilisant les fichiers de config dispos sur le site d'openswan (l'exemple de configuration). RIen de neuf. J'ai le même comportement dans le auth.log, et aucun log créé par xl2tpd/ppp...

[dudul88]

Alors moi j'ai installer la version 2.6.38 d'openswan et du coup plus moyen de me connecter, même sous linux. J'ai tenté le downgrade mais même problème. Je cherche ce qui a bien pu se passer...

Edit :

Bon j'ai trouvé mon problème - une bête erreur de mot de passe. Sinon la version 2.6.38 ne marche définitivement pas. Par contre pas de problème avec la 2.6.28 sauf sous windows mais ça doit venir de l'utilisation d'un smartphone comme modem.

Peux-tu donner le résultat de "iptables -L" ?

[Xaelias]

On va récapituler tout !!!

OpenSwan : 2.6.28

xl2tpd : 1.2.6

Iptables :

iptables -L -t natChain PREROUTING (policy ACCEPT)target	 prot opt source			   destination		Chain INPUT (policy ACCEPT)target	 prot opt source			   destination		Chain OUTPUT (policy ACCEPT)target	 prot opt source			   destination		Chain POSTROUTING (policy ACCEPT)target	 prot opt source			   destination		MASQUERADE  all  --  10.254.253.0/24	  anywhere  

La iptables normale est entièrement vide (serveur remis à nu dans la nuit).

/etc/ipsec.conf

version 2.0 # conforms to second version of ipsec.conf specification# basic configurationconfig setupnat_traversal=yes# exclude networks used on server side by adding %v4:!a.b.c.0/24# virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12virtual_private=%v4:192.168.0.0/16,%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v4:!10.254.253.0/24oe=off# which IPsec stack to use. auto will try netkey, then klips then mastprotostack=auto# Add connections hereconn l2tp-pskauthby=secretpfs=noauto=addkeyingtries=3rekey=notype=transportleft=IP_PUBLICleftnexthop=%defaultrouteleftprotoport=17/1701right=%anyrightprotoport=17/%anyrightsubnet=vhost:%priv,%nodpddelay=40dpdtimeout=130dpdaction=clear

/etc/xl2tpd/xl2tpd.conf

[global]listen-addr = IP_PUBLIC[lns default]ip range = 10.254.253.128-10254.253.250local ip = 10.254.253.1assign ip = yesrequire chap = yesrefuse pap = yesrequire authentification = yesname = l2tpdppp debug = yespppoptfile = /etc/ppp/options.xl2tpdlength bit = yes

/etc/ppp/options.xl2tpd

ipcp-accept-localipcp-accept-remotems-dns 8.8.8.8noccpauthcrtsctsidle 1800mtu 1200mru 1200nodefaultroutedebuglockproxyarpconnect-delay 5000logfile /var/log/ppp.log

/etc/ppp/chap-secrets

# Secrets for authentication using CHAP# client	  server		secret		IP addressesuser		  l2tpd		  "secret"	   10.254.253.128/25

/etc/ipsec.secrets

# RCSID $Id: ipsec.secrets.proto,v 1.3.6.1 2005/09/28 13:59:14 paul Exp $# This file holds shared secrets or RSA private keys for inter-Pluto# authentication.  See ipsec_pluto( manpage, and HTML documentation.# RSA private key for this host, authenticating it to any other host# which knows the public part.  Suitable public keys, for ipsec.conf, DNS,# or configuration of other implementations, can be extracted conveniently# with "ipsec showhostkey".# this file is managed with debconf and will contain the automatically created RSA keysinclude /var/lib/openswan/ipsec.secrets.incIP_PUBLIC %any 0.0.0.0: PSK "passphrase"

D'ailleurs je sais jamais si passphrase et password (ipsec.secrets et chap-secrets) doivent être entre "" ou pas :/

Et avec cette configuration là, ipsec passe, mais pas le reste. Donc y'a un problème quelque part :-)

/var/log/auth.log

15:50:13 pluto[20085]: packet from IP_ANDROID:51006: received Vendor ID payload [RFC 3947] method set to=10915:50:13 pluto[20085]: packet from IP_ANDROID:51006: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02] meth=107, but already using method 10915:50:13 pluto[20085]: packet from IP_ANDROID:51006: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] meth=106, but already using method 10915:50:13 pluto[20085]: packet from IP_ANDROID:51006: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]15:50:13 pluto[20085]: packet from IP_ANDROID:51006: ignoring Vendor ID payload [FRAGMENTATION 80000000]15:50:13 pluto[20085]: "l2tp-psk"[1] IP_ANDROID #1: responding to Main Mode from unknown peer IP_ANDROID15:50:13 pluto[20085]: "l2tp-psk"[1] IP_ANDROID #1: transition from state STATE_MAIN_R0 to state STATE_MAIN_R115:50:13 pluto[20085]: "l2tp-psk"[1] IP_ANDROID #1: STATE_MAIN_R1: sent MR1, expecting MI215:50:13 pluto[20085]: "l2tp-psk"[1] IP_ANDROID #1: NAT-Traversal: Result using RFC 3947 (NAT-Traversal): peer is NATed15:50:13 pluto[20085]: "l2tp-psk"[1] IP_ANDROID #1: transition from state STATE_MAIN_R1 to state STATE_MAIN_R215:50:13 pluto[20085]: "l2tp-psk"[1] IP_ANDROID #1: STATE_MAIN_R2: sent MR2, expecting MI315:50:14 pluto[20085]: "l2tp-psk"[1] IP_ANDROID #1: Main mode peer ID is ID_IPV4_ADDR: '10.166.54.177'15:50:14 pluto[20085]: "l2tp-psk"[1] IP_ANDROID #1: switched from "l2tp-psk" to "l2tp-psk"15:50:14 pluto[20085]: "l2tp-psk"[2] IP_ANDROID #1: deleting connection "l2tp-psk" instance with peer IP_ANDROID {isakmp=#0/ipsec=#0}15:50:14 pluto[20085]: "l2tp-psk"[2] IP_ANDROID #1: transition from state STATE_MAIN_R2 to state STATE_MAIN_R315:50:14 pluto[20085]: "l2tp-psk"[2] IP_ANDROID #1: new NAT mapping for #1, was IP_ANDROID:51006, now IP_ANDROID:5100715:50:14 pluto[20085]: "l2tp-psk"[2] IP_ANDROID #1: STATE_MAIN_R3: sent MR3, ISAKMP SA established {auth=OAKLEY_PRESHARED_KEY cipher=oakley_3des_cbc_192 prf=oakley_sha group=modp1024}15:50:14 pluto[20085]: "l2tp-psk"[2] IP_ANDROID #1: Dead Peer Detection (RFC 3706): not enabled because peer did not advertise it15:50:14 pluto[20085]: "l2tp-psk"[2] IP_ANDROID #1: ignoring informational payload, type IPSEC_INITIAL_CONTACT msgid=0000000015:50:14 pluto[20085]: "l2tp-psk"[2] IP_ANDROID #1: received and ignored informational message15:50:15 pluto[20085]: "l2tp-psk"[2] IP_ANDROID #1: the peer proposed: IP_PUBLIC/32:17/1701 -> 10.166.54.177/32:17/015:50:15 pluto[20085]: "l2tp-psk"[2] IP_ANDROID #2: responding to Quick Mode proposal {msgid:4c8abdf7}15:50:15 pluto[20085]: "l2tp-psk"[2] IP_ANDROID #2:	 us: IP_PUBLIC<IP_PUBLIC>[+S=C]:17/1701---37.59.63.25415:50:15 pluto[20085]: "l2tp-psk"[2] IP_ANDROID #2:   them: IP_ANDROID[10.166.54.177,+S=C]:17/0===10.166.54.177/3215:50:15 pluto[20085]: "l2tp-psk"[2] IP_ANDROID #2: transition from state STATE_QUICK_R0 to state STATE_QUICK_R115:50:15 pluto[20085]: "l2tp-psk"[2] IP_ANDROID #2: STATE_QUICK_R1: sent QR1, inbound IPsec SA installed, expecting QI215:50:15 pluto[20085]: "l2tp-psk"[2] IP_ANDROID #2: Dead Peer Detection (RFC 3706): not enabled because peer did not advertise it15:50:15 pluto[20085]: "l2tp-psk"[2] IP_ANDROID #2: transition from state STATE_QUICK_R1 to state STATE_QUICK_R215:50:15 pluto[20085]: "l2tp-psk"[2] IP_ANDROID #2: STATE_QUICK_R2: IPsec SA established transport mode {ESP=>0x0cd5d65e <0x2a0a502b xfrm=3DES_0-HMAC_SHA1 NATOA=none NATD=IP_ANDROID:51007 DPD=none}

[dudul88]

Bon, pour moi la configuration est bonne, j'ai pour ainsi dire la même chose sauf pour les points suivant :

Dans le /etc/xl2tpd/xl2tpd.conf :

[global]ipsec saref = yes[lns default]ip range = 192.168.11.10-192.168.11.50local ip = 192.168.11.9length bit = yesrequire chap = yesrefuse pap = yesrequire authentication = yesppp debug = nopppoptfile = /etc/ppp/options.xl2tpd

/etc/ppp/chap-secrets

monlogin * monmotdepasse *

/etc/ipsec.secrets

SA keysinclude /var/lib/openswan/ipsec.secrets.inc46.105.2.56 %any: PSK "monsecret"

Tu peux essayer de modifier comme ça mais ça ne doit pas changer grand chose je pense. Comme tu n'as pas d'erreur dans auth.log, qu'as-tu dans ppp.log ?

[Xaelias]

Je n'ai pas de ppp.log, c'est bien ce qui m'embête :/

Tu as aussi le même fichier d'option ppp ?

[dudul88]

Oui. On peut pas avoir le auth.log complet alors ? Pour moi il en manque un bout, ne serait-ce que la partie où ipsec te dit qu'il se déconnecte.

[Xaelias]

Voilà le tauth.log à partir du restart de ipsec et xl2tpd, et le moment où il se déconnecte (j'ai retiré les entrée du cron si ça te gêne pas ^^).

10:41:36 pluto[13906]: shutting down10:41:36 pluto[13906]: forgetting secrets10:41:36 pluto[13906]: "l2tp-psk": deleting connection10:41:36 pluto[13906]: shutting down interface lo/lo ::1:50010:41:36 pluto[13906]: shutting down interface lo/lo 127.0.0.1:450010:41:36 pluto[13906]: shutting down interface lo/lo 127.0.0.1:50010:41:36 pluto[13906]: shutting down interface eth0/eth0 IP_SERVER:450010:41:36 pluto[13906]: shutting down interface eth0/eth0 IP_SERVER:50010:41:36 pluto[13909]: pluto_crypto_helper: helper (0) is  normal exiting 10:41:36 pluto[13911]: pluto_crypto_helper: helper (2) is  normal exiting 10:41:36 pluto[13910]: pluto_crypto_helper: helper (1) is  normal exiting 10:41:37 ipsec__plutorun: Starting Pluto subsystem...10:41:37 pluto[12901]: Starting Pluto (Openswan Version 2.6.28; Vendor ID OEQ{O\177nez{CQ) pid:1290110:41:37 pluto[12901]: SAref support [disabled]: Protocol not available10:41:37 pluto[12901]: SAbind support [disabled]: Protocol not available10:41:37 pluto[12901]: Setting NAT-Traversal port-4500 floating to on10:41:37 pluto[12901]:    port floating activation criteria nat_t=1/port_float=110:41:37 pluto[12901]:    NAT-Traversal support  [enabled]10:41:37 pluto[12901]: using /dev/urandom as source of random entropy10:41:37 pluto[12901]: ike_alg_register_enc(): Activating OAKLEY_TWOFISH_CBC_SSH: Ok (ret=0)10:41:37 pluto[12901]: ike_alg_register_enc(): Activating OAKLEY_TWOFISH_CBC: Ok (ret=0)10:41:37 pluto[12901]: ike_alg_register_enc(): Activating OAKLEY_SERPENT_CBC: Ok (ret=0)10:41:37 pluto[12901]: ike_alg_register_enc(): Activating OAKLEY_AES_CBC: Ok (ret=0)10:41:37 pluto[12901]: ike_alg_register_enc(): Activating OAKLEY_BLOWFISH_CBC: Ok (ret=0)10:41:37 pluto[12901]: ike_alg_register_hash(): Activating OAKLEY_SHA2_512: Ok (ret=0)10:41:37 pluto[12901]: ike_alg_register_hash(): Activating OAKLEY_SHA2_256: Ok (ret=0)10:41:37 pluto[12901]: starting up 3 cryptographic helpers10:41:37 pluto[12901]: started helper pid=12906 (fd:7)10:41:37 pluto[12906]: using /dev/urandom as source of random entropy10:41:37 pluto[12901]: started helper pid=12907 (fd:10:41:37 pluto[12907]: using /dev/urandom as source of random entropy10:41:37 pluto[12901]: started helper pid=12908 (fd:9)10:41:37 pluto[12901]: Using Linux 2.6 IPsec interface code on 3.2.13-grsec-xxxx-grs-ipv6-64 (experimental code)10:41:37 pluto[12908]: using /dev/urandom as source of random entropy10:41:37 pluto[12901]: ike_alg_register_enc(): Activating aes_ccm_8: Ok (ret=0)10:41:37 pluto[12901]: ike_alg_add(): ERROR: Algorithm already exists10:41:37 pluto[12901]: ike_alg_register_enc(): Activating aes_ccm_12: FAILED (ret=-17)10:41:37 pluto[12901]: ike_alg_add(): ERROR: Algorithm already exists10:41:37 pluto[12901]: ike_alg_register_enc(): Activating aes_ccm_16: FAILED (ret=-17)10:41:37 pluto[12901]: ike_alg_add(): ERROR: Algorithm already exists10:41:37 pluto[12901]: ike_alg_register_enc(): Activating aes_gcm_8: FAILED (ret=-17)10:41:37 pluto[12901]: ike_alg_add(): ERROR: Algorithm already exists10:41:37 pluto[12901]: ike_alg_register_enc(): Activating aes_gcm_12: FAILED (ret=-17)10:41:37 pluto[12901]: ike_alg_add(): ERROR: Algorithm already exists10:41:37 pluto[12901]: ike_alg_register_enc(): Activating aes_gcm_16: FAILED (ret=-17)10:41:37 pluto[12901]: Changed path to directory '/etc/ipsec.d/cacerts'10:41:37 pluto[12901]: Changed path to directory '/etc/ipsec.d/aacerts'10:41:37 pluto[12901]: Changed path to directory '/etc/ipsec.d/ocspcerts'10:41:37 pluto[12901]: Changing to directory '/etc/ipsec.d/crls'10:41:37 pluto[12901]:   Warning: empty directory10:41:37 pluto[12901]: added connection description "l2tp-psk"10:41:37 pluto[12901]: listening for IKE messages10:41:37 pluto[12901]: NAT-Traversal: Trying new style NAT-T10:41:37 pluto[12901]: NAT-Traversal: ESPINUDP(1) setup failed for new style NAT-T family IPv4 (errno=19)10:41:37 pluto[12901]: NAT-Traversal: Trying old style NAT-T10:41:37 pluto[12901]: adding interface eth0/eth0 IP_SERVER:50010:41:37 pluto[12901]: adding interface eth0/eth0 IP_SERVER:450010:41:37 pluto[12901]: adding interface lo/lo 127.0.0.1:50010:41:37 pluto[12901]: adding interface lo/lo 127.0.0.1:450010:41:37 pluto[12901]: adding interface lo/lo ::1:50010:41:37 pluto[12901]: loading secrets from "/etc/ipsec.secrets"10:41:37 pluto[12901]: loading secrets from "/var/lib/openswan/ipsec.secrets.inc"10:41:45 pluto[12901]: packet from IP_ANDROID:9864: received Vendor ID payload [RFC 3947] method set to=109 10:41:45 pluto[12901]: packet from IP_ANDROID:9864: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02] meth=107, but already using method 10910:41:45 pluto[12901]: packet from IP_ANDROID:9864: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] meth=106, but already using method 10910:41:45 pluto[12901]: packet from IP_ANDROID:9864: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]10:41:45 pluto[12901]: packet from IP_ANDROID:9864: ignoring Vendor ID payload [FRAGMENTATION 80000000]10:41:45 pluto[12901]: "l2tp-psk"[1] IP_ANDROID #1: responding to Main Mode from unknown peer IP_ANDROID10:41:45 pluto[12901]: "l2tp-psk"[1] IP_ANDROID #1: transition from state STATE_MAIN_R0 to state STATE_MAIN_R110:41:45 pluto[12901]: "l2tp-psk"[1] IP_ANDROID #1: STATE_MAIN_R1: sent MR1, expecting MI210:41:45 pluto[12901]: "l2tp-psk"[1] IP_ANDROID #1: NAT-Traversal: Result using RFC 3947 (NAT-Traversal): peer is NATed10:41:45 pluto[12901]: "l2tp-psk"[1] IP_ANDROID #1: transition from state STATE_MAIN_R1 to state STATE_MAIN_R210:41:45 pluto[12901]: "l2tp-psk"[1] IP_ANDROID #1: STATE_MAIN_R2: sent MR2, expecting MI310:41:45 pluto[12901]: "l2tp-psk"[1] IP_ANDROID #1: Main mode peer ID is ID_IPV4_ADDR: '10.166.54.177'10:41:45 pluto[12901]: "l2tp-psk"[1] IP_ANDROID #1: switched from "l2tp-psk" to "l2tp-psk"10:41:45 pluto[12901]: "l2tp-psk"[2] IP_ANDROID #1: deleting connection "l2tp-psk" instance with peer IP_ANDROID {isakmp=#0/ipsec=#0}10:41:45 pluto[12901]: "l2tp-psk"[2] IP_ANDROID #1: transition from state STATE_MAIN_R2 to state STATE_MAIN_R310:41:45 pluto[12901]: "l2tp-psk"[2] IP_ANDROID #1: new NAT mapping for #1, was IP_ANDROID:9864, now IP_ANDROID:986510:41:45 pluto[12901]: "l2tp-psk"[2] IP_ANDROID #1: STATE_MAIN_R3: sent MR3, ISAKMP SA established {auth=OAKLEY_PRESHARED_KEY cipher=oakley_3des_cbc_192 prf=oakley_sha group=modp1024}10:41:45 pluto[12901]: "l2tp-psk"[2] IP_ANDROID #1: Dead Peer Detection (RFC 3706): not enabled because peer did not advertise it10:41:45 pluto[12901]: "l2tp-psk"[2] IP_ANDROID #1: ignoring informational payload, type IPSEC_INITIAL_CONTACT msgid=0000000010:41:45 pluto[12901]: "l2tp-psk"[2] IP_ANDROID #1: received and ignored informational message10:41:46 pluto[12901]: "l2tp-psk"[2] IP_ANDROID #1: the peer proposed: IP_SERVER/32:17/1701 -> 10.166.54.177/32:17/010:41:46 pluto[12901]: "l2tp-psk"[2] IP_ANDROID #2: responding to Quick Mode proposal {msgid:4c542797}10:41:46 pluto[12901]: "l2tp-psk"[2] IP_ANDROID #2:     us: IP_SERVER<IP_SERVER>[+S=C]:17/1701---37.59.63.25410:41:46 pluto[12901]: "l2tp-psk"[2] IP_ANDROID #2:   them: IP_ANDROID[10.166.54.177,+S=C]:17/0===10.166.54.177/3210:41:46 pluto[12901]: "l2tp-psk"[2] IP_ANDROID #2: transition from state STATE_QUICK_R0 to state STATE_QUICK_R110:41:46 pluto[12901]: "l2tp-psk"[2] IP_ANDROID #2: STATE_QUICK_R1: sent QR1, inbound IPsec SA installed, expecting QI210:41:46 pluto[12901]: "l2tp-psk"[2] IP_ANDROID #2: Dead Peer Detection (RFC 3706): not enabled because peer did not advertise it10:41:46 pluto[12901]: "l2tp-psk"[2] IP_ANDROID #2: transition from state STATE_QUICK_R1 to state STATE_QUICK_R210:41:46 pluto[12901]: "l2tp-psk"[2] IP_ANDROID #2: STATE_QUICK_R2: IPsec SA established transport mode {ESP=>0x0bf50af4 <0xba048366 xfrm=3DES_0-HMAC_SHA1 NATOA=none NATD=IP_ANDROID:9865 DPD=none}

Mais pas de déconnexion en vue :/

[dudul88]

Peux-tu faire :

# grep '15:5' /var/log/auth.log > log.txt

et mettre le fichier en lien ? Ne retire rien du tout, il DOIT te mettre un message, quelque part.

[Xaelias]

Nan mais tout ce que je te retire c'est c'est deux lignes là qui apparaissent toutes les minutes :

10:59:01 CRON[13932]: pam_unix(cron:session): session opened for user root by (uid=0)10:59:01 CRON[13932]: pam_unix(cron:session): session closed for user root

J'ai attendu 15 minutes avant de me dire qu'il ne m'afficherait rien. j'ai même coupé la data au niveau du tél, en me disant que ça le forcerai à le détecter en dead peer. Et le bloc que je t'ai mis, j'ai rien retiré au milieu, juste après (les 2 lignes répétées le nombre de minutes que j'ai attendu). :-)

[dudul88]

Ba écoute il y a vraiment une couille dans le pâté. Si on a même pas de message d'erreur pour travailler on va pas aller bien loin.

Un truc que tu peux faire quand même pour être sûr que c'est pas ça qui cloche c'est :

# iptables -A INPUT -p udp -dport 500 -j ACCEPT# iptables -A INPUT -p udp -dport 4500 -j ACCEPT# iptables -A OUTPUT -p udp -sport 500 -j ACCEPT# iptables -A OUTPUT -p udp -sport 4500 -j ACCEPT# iptables -A INPUT -p esp -j ACCEPT# iptables -A INPUT -p ah -j ACCEPT

[Xaelias]

J'en ai marre... J'ai l'impression que quoi que je modifie, ça ne change rien :/

Rien de différent dans auth.log, toujours pas de ppp.log à l'horizon, ce qui est plus que bizarre...

[dudul88]

Le pire c'est que j'ai la même configuration, le même hébergeur et le même système et que ça marche.

Pour ma part j'avais suivi le tuto que je t'ai mis en lien. Il y a peut-être ça qui peut t'aider mais là je ne vois pas ce qui cloche. Ça doit être tout con en plus...

Revérifie bien tes mots de passes, ta config, si xl2tpd est bien démarré... Du côté d'iptables normalement c'est bon ne touche plus à rien. La config de /proc/sys est aussi à contrôler.