[freebsd] L2TP/IPsec and Android
Nick Kostirya
Есть L2TP (mpd5) поверх IPsec.
Клиент на FreeBSD отлично соединяется.
Клиент на Android устанавливает IPsec. А логах mpd5 только такое сообщение
L2TP: waiting for connection on 0.0.0.0 1701
[L1] Incoming L2TP packet from ****** 56164
L2TP: Control connection 0x803054310 terminated: 0 ()
L2TP: Control connection 0x803054310 destroyed
И все. Хотя логирование включил по полной.
tcpdump -ni enc0
Показывает, что трафик идет.
Подскажите, пожалуйста, куда дальше смотреть?
Вот конфиг mpd5 с сервера
startup:
default:
load l2tp
l2tp:
create bundle template P
set ipcp yes vjcomp
set ipcp ranges 192.168.10.1 192.168.10.0/24
create link template L1 l2tp
set link action bundle P
#set link enable multilink
set link mtu 1400
set link keep-alive 10 75
#set iface enable tcpmssfix
set l2tp secret "*****************"
#set l2tp enable hidden
set link enable incoming
set link enable chap
А вот первый пакеты с tcpdump -ni enc0.
mpd5 клиент (когда все хорошо)
l2tp:[TLS](0/0)Ns=0,Nr=0 *MSGTYPE(SCCRQ) *HOST_NAME(thinkpad) *RANDOM_VECTOR(4847b247) ?VENDOR_NAME(???) *?BEARER_CAP(???) *RECV_WIN_SIZE(8) *PROTO_VER(1.0) *?FRAMING_CAP(???) *?ASSND_TUN_ID(???) *?CHALLENGE(???)
Андроид клиент
l2tp:[TLS](0/0)Ns=0,Nr=0 *MSGTYPE(SCCRQ) *PROTO_VER(1.0) *HOST_NAME(anonymous) *FRAMING_CAP(AS) *ASSND_TUN_ID(53166) *RECV_WIN_SIZE(1) *CHALLENGE(205fe47899d4592830efe267ea22311d7fe245a7c68d70ff0b36199a13a04c6f)
l
_______________________________________________
freebsd mailing list
fre...@uafug.org.ua
http://mailman.uafug.org.ua/mailman/listinfo/freebsd
Nick Kostirya
Новый телефон подключается.
Но есть неприятность.
Два клиента из одной и той-же локальной сети подключиться не могут.
On Fri, 2 Nov 2018 15:59:34 +0200
Nick Kostirya <nikolay....@i11.co> wrote:
> Привет. Это снова я.
> Есть L2TP (mpd5) поверх IPsec.
> Клиент на FreeBSD отлично соединяется.
> Клиент на Android устанавливает IPsec. А логах mpd5 только такое сообщение
>
> L2TP: waiting for connection on 0.0.0.0 1701
> [L1] Incoming L2TP packet from ****** 56164
> L2TP: Control connection 0x803054310 terminated: 0 ()
> L2TP: Control connection 0x803054310 destroyed
>
Eugene Grosbein
> Причина оказалась в старом Андроиде.
> Новый телефон подключается.
>
> Но есть неприятность.
> Два клиента из одной и той-же локальной сети подключиться не могут.
Да, это известная проблема - удалённый сервер racoon может установить себе
только одну SA для внешнего (публичного) IP-адреса такой локальной сети.
Несколько нивелируется переносом туннеля непосредственно на сам NAT-роутер этой сети
и освобождением клиентов внутри сети от необходимости самим устанавливать туннели.
Nick Kostirya
Eugene Grosbein <eu...@grosbein.net> wrote:
> 03.11.2018 1:16, Nick Kostirya пишет:
> > Но есть неприятность.
> > Два клиента из одной и той-же локальной сети подключиться не могут.
>
> Да, это известная проблема - удалённый сервер racoon может установить себе
> только одну SA для внешнего (публичного) IP-адреса такой локальной сети.
> Несколько нивелируется переносом туннеля непосредственно на сам NAT-роутер этой сети
> и освобождением клиентов внутри сети от необходимости самим устанавливать туннели.
Это особенность только racoon или протокола?
Nick Kostirya
Nick Kostirya <nikolay....@i11.co> wrote:
> On Sat, 3 Nov 2018 01:46:56 +0700
> Eugene Grosbein <eu...@grosbein.net> wrote:
>
> > 03.11.2018 1:16, Nick Kostirya пишет:
> > > Но есть неприятность.
> > > Два клиента из одной и той-же локальной сети подключиться не могут.
> >
> > Да, это известная проблема - удалённый сервер racoon может установить себе
> > только одну SA для внешнего (публичного) IP-адреса такой локальной сети.
> > Несколько нивелируется переносом туннеля непосредственно на сам NAT-роутер этой сети
> > и освобождением клиентов внутри сети от необходимости самим устанавливать туннели.
>
> Это особенность только racoon или протокола?
Прочитал у strongswan, что это IKEv1 и они рекомендуют использовать IKEv2.