libreswan今天之前,我使用和都能正常连接到工作 VPN NetworkManager-l2tp。升级系统后,我的 VPN 连接停止运行。经过大量故障排除后,我发现了一些奇怪的事情:
sudo ike-scan [vpn address]结果是:
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
Ending ike-scan 1.9: 1 hosts scanned in 2.471 seconds (0.40 hosts/sec). 0 returned handshake; 0 returned notify
这表明目标网关不是IPSec 网关(尽管它确实是)。
什么原因会导致这种情况?除了这些设置之外,是否还ike-scan需要更改其他设置才能使其正常工作?还有其他 IPSec VPN 地址也会出现类似的情况,尽管它们是L2TP/IPSec VPN。另外,就在几周前,我还在ike-scan研究我工作 VPN 的 Phase1 和 Phase2 算法。
还有其他 VPN,比如这答案是行不通的。其他几个 L2TP/IPSec IP 也行不通。
这里可能发生什么事?
答案1
如果您使用 ike-scan 时没有指定要测试的提议,则它将默认为3des-sha1-modp1024。查看输出,您的 VPN 服务器似乎不支持该提议。
尝试以下 ike-scan.sh 脚本,该脚本会迭代多个建议。您可以像这样运行它sudo ./ike-scan.sh [vpn address] | grep SA=:sudo bash ike-scan.sh [vpn address] | grep SA=
#!/bin/sh
# Encryption algorithms: 3des=5, aes128=7/128, aes192=7/192, aes256=7/256
ENCLIST="5 7/128 7/192 7/256"
# Hash algorithms: md5=1, sha1=2, sha256=5, sha384=6, sha512=7
HASHLIST="1 2 5 6 7"
# Diffie-Hellman groups: 1, 2, 5, 14, 15, 19, 20, 21
GROUPLIST="1 2 5 14 15 19 20 21"
# Authentication method: Preshared Key=1, RSA signatures=3
AUTHLIST="1 3"
for ENC in $ENCLIST; do
for HASH in $HASHLIST; do
for GROUP in $GROUPLIST; do
for AUTH in $AUTHLIST; do
echo ike-scan --trans=$ENC,$HASH,$AUTH,$GROUP -M "$@"
ike-scan --trans=$ENC,$HASH,$AUTH,$GROUP -M "$@"
done
done
done
done
答案2
建议使用以下 PPA 中较新的 network-manager-l2tp 1.2.16:
为了与大多数 L2TP/IPsec VPN 服务器向后兼容,network-manager-l2tp 1.2.16 及更高版本不再使用 strongSwan 和 libreswan 默认允许算法集,而是使用 Windows 10 和 macOS/iOS/iPadOS L2TP/IPsec 客户端的 IKEv1 提案合并的算法作为默认算法。Win10 和 iOS 不通用的最弱提案被删除,但所有最强的提案都被保留。
因此,对于 network-manager-l2tp 1.2.16 和 1.8.0(注意:由于从 Debian 继承的 OpenSSL 存在 GPLv2 许可不兼容问题,因此 1.8.0 尚未在 Ubuntu 上发布),我建议删除第 1 阶段和第 2 阶段的提案,因为它们不再需要了。
如果您使用 strongswan 并按照 README.md 文件中的说明启用调试:
您可以看到 VPN 服务器提供的第 1 阶段(主模式)和第 2 阶段(快速模式)提案。