Есть задача, построить VPN в сеть для мобильных устройств в том числе. ПК на Windows подключаются отлично, а вот с телефоном незадача: в телефоне выбираю L2TP/IPSec PSK ввожу общий ключ IPSec жму подключить Далее телефон пишет, что подключается, а в логе жизнь останавливается на IPsec-SA established: ESP/Transport 192.168.10.206[500]->192.168.10.188[500] spi=0x6acea0 pfkey update sent. После этого, телефон рапортует о том, что произошел сбой. Подтолкните, пожалуйста, в какую сторону копать.
Пока оно на столе, я просто для теста решил попробовать подключиться со своего телефона. Так что "клиент" у vpn сервера один.
Если с одним логином подключиться с разных windows машин (only one=no), то всё хорошо, с телефона при этом - всё тоже самое.
Тогда попробуйте с алгоритмом шифрования поиграться. Возможно телефон и роутер не могут прийти к согласию. У меня шифрование aes-128 и 3des, а хэш считается через sha1, DH Group = modp 1024. У меня так работает.
ip ipsec installed-sa print Flags: H - hw-aead, A - AH, E - ESP 0 E spi=0x805CC3A src-address=192.168.10.242 dst-address=192.168.10.188 state=mature auth-algorithm=sha1 enc-algorithm=aes-cbc enc-key-size=128 auth-key="be87e5765c801622bf73a1f3d770c76f456a15e6" enc-key="335381ef79b53dfb8dc1dfcf2ef5859f" addtime=mar/27/2018 14:30:50 expires-in=58m7s add-lifetime=48m/1h current-bytes=18507 current-packets=161 replay=128 1 E spi=0xE23D94C2 src-address=192.168.10.188 dst-address=192.168.10.242 state=mature auth-algorithm=sha1 enc-algorithm=aes-cbc enc-key-size=128 auth-key="253fbf8a51d2626fc5c05c50dc024c9e838f6700" enc-key="212ad2735190e905c401545af9b91771" addtime=mar/27/2018 14:30:50 expires-in=58m7s add-lifetime=48m/1h current-bytes=2258 current-packets=33 replay=128 2 E spi=0x3CFEEE8 src-address=192.168.10.206 dst-address=192.168.10.188 state=mature auth-algorithm=sha1 enc-algorithm=aes-cbc enc-key-size=128 auth-key="195b7741c4ed67c5f9ef0e8a7a8fbe2d423be74e" enc-key="b20dee0c9de85cc86986140e453e72d4" addtime=mar/27/2018 14:31:19 expires-in=7h58m36s add-lifetime=6h24m/8h current-bytes=2277 current-packets=30 replay=128 3 E spi=0x4AB775D src-address=192.168.10.188 dst-address=192.168.10.206 state=mature auth-algorithm=sha1 enc-algorithm=aes-cbc enc-key-size=128 auth-key="fa467687afd5364a38b82a1a772deb1baf8f58e2" enc-key="013aff11c9e58086585fc54998f7bc94" add-lifetime=6h24m/8h replay=128 242й - это windows, 206 - телефон
Нет, не пробовал. У настраиваемого роутера, WAN порт смотрит в локалку конторы, WiFi на телефоне - тоже локалка конторы. Стоит попробовать из вне?
Выяснил следующее: если отключить L2TP Server в маршрутизаторе, то при попытке подключения с windows, эффект точно такой-же, как при включенном, но с телефона. Получается, что с телефона, устанавливается IPSec, но не поднимается L2TP? Что я упускаю?
13:49:32 ipsec IPsec-SA established: ESP/Transport 192.168.10.188[500]->192.168.10.155[500] spi=0xf5482a9 13:49:32 ipsec,debug pfkey add sent. На этом жизнь притормаживается, а потом 13:49:56 l2tp,ppp,debug,packet <192.168.10.242>: sent LCP EchoReq id=0xd 13:49:56 l2tp,ppp,debug,packet <magic 0x67b96534> 13:49:56 l2tp,ppp,debug,packet <192.168.10.242>: rcvd LCP EchoRep id=0xd 13:49:56 l2tp,ppp,debug,packet <magic 0x42b872b> 13:50:25 l2tp,debug,packet sent control message to 192.168.10.242:1701 from 192.168.10.188:1701 13:50:25 l2tp,debug,packet tunnel-id=33, session-id=0, ns=10, nr=6 13:50:25 l2tp,debug,packet (M) Message-Type=HELLO 13:50:25 l2tp,debug,packet rcvd control message (ack) from 192.168.10.242:1701 to 192.168.10.188:1701 13:50:25 l2tp,debug,packet tunnel-id=2, session-id=0, ns=6, nr=11 13:50:26 l2tp,ppp,debug,packet <192.168.10.242>: sent LCP EchoReq id=0xe 13:50:26 l2tp,ppp,debug,packet <magic 0x67b96534> 13:50:26 l2tp,ppp,debug,packet <192.168.10.242>: rcvd LCP EchoRep id=0xe 13:50:26 l2tp,ppp,debug,packet <magic 0x42b872b> 13:50:56 l2tp,ppp,debug,packet <192.168.10.242>: sent LCP EchoReq id=0xf 13:50:56 l2tp,ppp,debug,packet <magic 0x67b96534> 13:50:56 l2tp,ppp,debug,packet <192.168.10.242>: rcvd LCP EchoRep id=0xf 13:50:56 l2tp,ppp,debug,packet <magic 0x42b872b>
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN Вот оно как... Делаю disabled=yes - статус почти мгновенно, поменялся на "подключено" Но винды как-то подключались при этом... Дичь...
