我正在跟进本指南在 Gentoo 机器上设置 IPsec/L2TP VPN 服务器时,我无法让 OS X 客户端进行连接。从日志来看,我相信我已成功建立 IPsec 连接,但 xl2tpd 拒绝在连接过程中继续进行。我的设置(名称已更改):
- 主服务器直接连接到 Internet - 没有 NAT - 位于 example.com
- vpn.example.com 是 example.com 的别名
- 两个地址均通过动态 DNS 服务提供 - example.com 的 IP 不固定
- 家庭服务器的内部子网是 192.168.1.0/24
- OS X 客户端运行 10.5.6 并具有动态 IP(是“roadwarrior”)
我的配置文件如下:
ipsec配置文件
版本 2.0
配置设置
nat_traversal=否
nhelpers=0
包括 /etc/ipsec/ipsec.d/examples/no_oe.conf
连接 L2TP-PSK-NAT
rightsubnet=vhost:%priv
也=L2TP-PSK-noNAT
连接 L2TP-PSK-noNAT
authby=秘密
pfs=否
自动=添加
键控尝试=3
重新密钥=否
类型=运输
左=%默认路线
左协议端口=17/1701
右=%任意
# 使用“0”这个神奇端口意味着“任何一个端口”。这是
# 需要为使用随机的 Apple OSX 客户端解决此问题
# 高端口,但建议用“0”代替其端口。
右协议端口=17/0
ipsec.secrets
: PSK“测试密钥”
xl2tpd配置文件
[全球的] 端口 = 1701 访问控制 = 无 调试 avp = 是 调试网络=是 调试状态 = 是 调试隧道 = 是 [lns 默认] IP 范围 = 172.21.118.2-172.21.118.254 本地 IP = 172.21.118.1 需要 chap = 是 拒绝 pap = 是 名称 = LinuxVPN pppoptfile = /etc/ppp/options.xl2tpd ppp 调试 = 是 长度位 = 是
选项.xl2tpd
ipcp-接受本地 ipcp-接受远程 ms-dns 192.168.1.27 诺科普 沒有授權 crtscts 空闲 1800 mtu 1410 1410 马里兰州 无默认路由 调试 锁 代理ARP 连接延迟 5000 沉默的
以及日志条目:
*剪辑*
9 月 5 日 13:40:32 [pluto] “L2TP-PSK-noNAT”[14] 137.112.114.88 #28:STATE_QUICK_R2:IPsec SA 已建立 {ESP=>0x0cb56f8c <0x319c29ff xfrm=AES_128-HMAC_SHA1 NATD=none DPD=none}
9 月 5 日 13:40:39 [xl2tpd] 隧道 23214 的最大重试次数已超出。正在关闭。_
9 月 5 日 13:40:46 [xl2tpd] 连接 70 关闭至 137.112.114.88,端口 63835(超时)_
*剪辑*
为什么我无法让 xl2tpd 接受连接?我甚至找不到相关的 xl2tpd 日志文件来继续调试 - 我得到的只是系统日志中的这两行。
答案1
搞定了。我不是专家,所以我不知道为什么这样做有效,但我能够通过在conn L2TP-PSK-noNATipsec.conf 部分添加以下几行来建立连接:
leftnexthop=%默认路由 rightnexthop=%默认路由