https://www.opennet.ru/openforum/vsluhforumID1/91878.html Здраствуйте. Такая проблема.<br>Железная дорога Украины создала доступ к своей базе через VPN сервер,<br>с предварительным ключом проверки подлиности.<br>после запуска xl2tpd с ключом -D <br>выдает такую ерунду и висит<br><br>xl2tpd[3508]: setsockopt recvref[22]: Protocol not available<br>xl2tpd[3508]: This binary does not support kernel L2TP.<br>xl2tpd[3508]: xl2tpd version xl2tpd-1.2.6 started on luser PID:3508<br>xl2tpd[3508]: Written by Mark Spencer, Copyright (C) 1998, Adtran, Inc.<br>xl2tpd[3508]: Forked by Scott Balmos and David Stipp, (C) 2001<br>xl2tpd[3508]: Inherited by Jeff McAdams, (C) 2002<br>xl2tpd[3508]: Forked again by Xelerance (www.xelerance.com) (C) 2006<br>xl2tpd[3508]: Listening on IP address 0.0.0.0, port 1052<br>xl2tpd[3508]: Connecting to host vpn2.uz.gov.ua, port 1701<br>xl2tpd[3508]: Maximum retries exceeded for tunnel 3193. Closing.<br><br> https://www.opennet.ru/openforum/vsluhforumID1/91878.html#23 Wed, 20 Mar 2019 22:19:45 GMT &gt; А как Вам удалось добиться, чтобы MPD5 присваивал приватный IP-адрес для правой <br>&gt; стороны NG-интерфейса? У меня он напрочь отказывается это делать. Можете поделиться <br>&gt; конфигурацией MPD?<br><br>1) не удалось<br>2) поэтому, как и писал, подставлен костыль в виде up-script, который сразу же прибивает автосозданный маршрут на кривую правую сторону, переназначает на нужное значение (с пом. ifconfig ng0), основываясь на эмпирическом знании, что с той стороны всегда 10.0.0.1 в качестве конца туннеля.<br><br><br>PS. и конфиг ipsec.conf пришлось немного подкрутить по сравнению с вашим, т.к. у меня харон не передоговаривался в следующий раз после первого же разрыва\отключения L2TP, при котором очевидно и ipsec сбрасывался той стороной. (auto=route)<br><br>PPS. не забываем NAT-ить клиентов в туннель<br><br><br>mpd.conf:<br><br>L2TP_client:<br> create bundle static B1<br> set iface up-script /usr/local/etc/mpd5/l2tp-up.sh<br> set iface down-script /usr/local/etc/mpd5/l2tp-down.sh<br>...<br><br>l2tp-up.sh:<br>#!/bin/sh<br><br># $1 - inte https://www.opennet.ru/openforum/vsluhforumID1/91878.html#22 Wed, 20 Mar 2019 18:53:53 GMT А как Вам удалось добиться, чтобы MPD5 присваивал приватный IP-адрес для правой стороны NG-интерфейса? У меня он напрочь отказывается это делать. Можете поделиться конфигурацией MPD?<br><br>&gt; Сегодня получилось на конфигурации <br>&gt; FreeBSD 11.2 + strongSwan + mpd5 + up-script https://www.opennet.ru/openforum/vsluhforumID1/91878.html#21 Wed, 20 Mar 2019 14:06:09 GMT &gt; Кому-нибудь удалось подключить <br>&gt; какой-нибудь unix-like к Железной Дороге Украины?<br><br>уже - да. с пом. костыля, правда.<br><br>Судя по результатам гугления, с понедельника шел тем же путем, что и вы до этого, практически с теми же результатами.<br><br>Сегодня получилось на конфигурации<br>FreeBSD 11.2 + strongSwan + mpd5 + up-script<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/91878.html#20 Mon, 18 Mar 2019 08:33:44 GMT Разобрался!<br>Проблема была в том, что NG-интерфейс получал "правый" IP-адрес, совпадающий с публичным адресом L2TP/IPSec-сервера. Из-за этого ломалась маршрутизация для IPSec пакетов. Мне так и не удалось заставить MPD5 получать приватный правый IP-адрес, как и положено: он либо получает публичный, либо отваливается с ошибкой "parameter negotiation failed".<br>Короче, проблема решилась установкой CentOS и поднятием XL2TPd+LibreSwan.<br> https://www.opennet.ru/openforum/vsluhforumID1/91878.html#19 Tue, 05 Mar 2019 15:58:46 GMT Прошу прощение за некропост. Но я с осени ломаю голову над этой же проблемой. Железная дорога Украины даже подробную инструкцию опубликовала (правда под OpenSUSE):<br>http://vpninfo.uz.gov.ua/instructions/linux/opensuse/13.2/<br>Соединение устанавливается, мой ppp0 получает IP-адрес, а дальше charon делает четыре раза "sending keep alive", после чего xl2tpd говорит "Maximum retries exceeded for tunnel 19104. Closing.".<br>При этом из-под Windows в этой же сети (через этот же NAT) соединение работает нормально. Как понять, где собака зарыта? Кому-нибудь удалось подключить какой-нибудь unix-like к Железной Дороге Украины?<br> https://www.opennet.ru/openforum/vsluhforumID1/91878.html#18 Mon, 18 Feb 2013 16:26:05 GMT &gt; с ВИДОВССА все работает??<br><br>Дак вам видней должно быть.<br> https://www.opennet.ru/openforum/vsluhforumID1/91878.html#17 Wed, 06 Jul 2011 05:02:06 GMT извини Loly наверное надоел....<br> <br>ipsec.conf<br># /etc/ipsec/ipsec.conf - vpn2.uz.gov.ua Openswan IPsec configuration file<br># This file was created by openswan-vpn2uz.sh script<br>#<br># Manual: ipsec.conf.5<br><br># conforms to second version of ipsec.conf specification<br>version 2.0<br><br># basic configuration<br>config setup<br> # interfaces="ipsec0=eth0"<br> klipsdebug=none<br> plutodebug=none<br> # NAT-TRAVERSAL support, see README.NAT-Traversal<br> nat_traversal=yes<br> # enable this if you see "failed to find any available worker"<br> nhelpers=0<br><br># vpn2uz xl2tp<br>conn vpn2uz-xl2tp-transport<br> type=transport<br> left=192.168.10.101<br> leftnexthop=%defaultroute<br> leftprotoport=17/0<br> right=vpn2.uz.gov.ua<br> rightprotoport=17/1701<br> keyexchange=ike<br> ike=3des-sha1<br> esp=3des<br> pfs=yes<br> auto=start<br> authby=secret<br><br>#Disable Opportunistic Encryption<br>include /etc/ipsec/ipsec.d/examples/no_oe.conf<br><br>запуск IPSEC<br>IPSEC START<br><br>Starting strongSwan 4.4.0 IPsec [starter]...<br>/e https://www.opennet.ru/openforum/vsluhforumID1/91878.html#16 Tue, 05 Jul 2011 23:01:29 GMT &gt; уважаемый Loly я пока не совсем понимаю....<br>&gt; раскажите поподробнее про то как проверить состояние IPSEC, как он запускаетса.<br>&gt; насколько я понимаю при минимальном опыте - сначала надо создать тунель при <br>&gt; помощи xL2TPD.<br>&gt; буду очень благодарен за помощ.<br><br>Для начала надо поднять IPSec транспорт. Для этого нужен например strongswan (установить из репов дистра) ipsec start, ipsec status (поиск Вам поможет). А далее запускаете xl2tpd.<br> https://www.opennet.ru/openforum/vsluhforumID1/91878.html#15 Tue, 05 Jul 2011 11:59:35 GMT уважаемый Loly я пока не совсем понимаю....<br>раскажите поподробнее про то как проверить состояние IPSEC, как он запускаетса.<br>насколько я понимаю при минимальном опыте - сначала надо создать тунель при помощи xL2TPD.<br>буду очень благодарен за помощ.<br>