我尝试从办公室的管理员处配置一个具有用户名、密码和预共享密钥 (psk) 的 vpn 连接。
经过几个小时的努力,我尝试了多种可能性和方法(openvpn、openswan、networkmanager-l2tp-gnome、xl2tpd),但我无法与我的办公室建立连接。
但是给定的参数仍然有效,因为我尝试在 Win7 和我的 Android 手机上使用。
为什么配置像 vpn 这样简单的东西会这么麻烦,我只需要输入 3 个参数?在我的手机上,我输入了参数,它运行正常。
请帮我找到配置 vpn 的正确方法。因为我想使用 Linux!!!
非常感谢,GueBr
答案1
我遇到了同样的问题,并且无法更改 VPN 服务器,这超出了我的控制范围。
我尝试了很多解决方案,编辑并恢复了许多配置文件,并尝试在网络管理器 VPN 设置、IPSec 配置中设置第 1 阶段和第 2 阶段算法。直到我安装了ppa:nm-l2tp/network-manager-l2tpapt一个合理的版本,这些方法才奏效:
sudo add-apt-repository ppa:nm-l2tp/network-manager-l2tp
sudo apt update
sudo apt install network-manager-l2tp network-manager-l2tp-gnome
sudo apt upgrade
安装、更新network-manager-l2tp和重启后,VPN 连接“就正常工作了”。我的配置仍然有第 1 阶段和第 2 阶段的覆盖,所以也许这也有帮助。我还禁用了 的自动启动xl2tpd,所以如果这些更改有帮助,它们如下:
VPN 设置→配置→身份→IPSec 设置:
- 第一阶段:aes128-sha1-modp2048!
- 第二阶段:3des-sha1
这些是根据关于它是最可能的组合的帖子选择的,并通过运行进行验证ike-scan:
sudo ike-scan <vpn hostname or ip>
禁用xl2tpd:
sudo systemctl disable xl2tpd
答案2
不幸的是,许多 L2TP/IPsec VPN 服务器仅采用微软 18 年前在 Windows 2000 Server 中引入的 IPsec 算法,而这些算法现在被认为是薄弱的或有缺陷的。
L2TP/IPsec 客户端也提出了一套算法。要建立连接,客户端和服务器至少需要有一个共同的提议。
networkmanager-l2tp 使用 libreswan 或 strongswan 来支持 IPsec。Linux 比其他平台更注重安全。libreswan 和 strongswan 已在其默认提案中删除了弱算法,但如果您明确指定要使用的弱算法,它们仍允许使用弱算法。
但正确的解决方法肯定是配置 L2TP/IPsec 服务器以提出不弱的算法。
我建议阅读 network-manager-l2tp 包附带的 README.md 文件,您也可以在此处的上游源代码中找到 README.md:
特别要看看“VPN 服务器仅建议使用 IPsec IKEv1 弱旧算法”该文件中的部分。它提供了有关如何运行 ike-scan.sh 脚本的详细信息,该脚本可以查询 LP2TP/IPsec 服务器所使用的第 1 阶段算法,还提供了有关如何指定最常见的 3DES、SHA1 和 MODP1024 弱算法的示例。
还可以看看“无法停止系统 xl2tpd 服务的问题”该文件中的部分,您可能需要停止系统 xl2tpd。
答案3
我只想补充一点,对我来说,它比@jla的解决方案更简单。
也许从那时起 18.04 存储库已经更新。
ike-scan.sh为我解决这个问题的方法是按照描述使用这里。
从结果来看,我能够在我的案例中设置这一点:
阶段 1:3des-sha1-modp1024
阶段 2:aes256-sha1,aes128-sha1,3des-sha1
我还必须禁用 xl2tpd,但仅此而已。