A AT & T parece bloquear os pacotes UDP de entrada (não permite que eles percorram o NAT), então será muito difícil configurar o L2TP / IPsec. Eu acho que você está preso com o PPTP.
Eu passei a manhã tentando configurar uma VPN L2TP / IPsec usando Openswan e xl2tpd em um servidor Debian Squeeze para uso por uma mistura de clientes iOS e Mac. Eu estou tentando configurá-lo usando chaves pré-compartilhadas para manter as coisas simples.
O iPhone se conecta e começa a criar a VPN, depois fica preso e falha no meio do caminho. Eu não consigo descobrir o problema depois de mexer em muitos parâmetros e verificar tudo novamente.
Aqui está a última mensagem de log de /var/log/auth.log antes de ficar preso:
pluto[30733]: "L2TP-PSK"[5] 166.147.96.226 #5: STATE_QUICK_R2: IPsec SA established tunnel mode {ESP=>0x0659cf9f <0xc3c2f68c xfrm=AES_256-HMAC_SHA1 NATOA=none NATD=166.147.96.226:10682 DPD=enabled}
Então, cerca de 30 segundos depois, o iPhone desiste e isso aparece no auth.log :
pluto[30733]: ERROR: asynchronous network error report on br1 (sport=4500) for message to 166.147.96.226 port 10682, complainant 166.147.96.226: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]
O que isso significa? O servidor não consegue entrar em contato com o cliente ou o cliente não consegue estabelecer uma conexão adicional e transmite esse erro pela conexão IPsec que pôde estabelecer?
Infelizmente, estou testando isso com o iPhone na rede celular da AT & T, porque estou dentro da rede Wi-Fi na qual desejo estabelecer a VPN. A AT & T bloqueia o tráfego VPN?
Sei que a autenticação IPsec está funcionando porque, se eu alterar ou remover a linha de /etc/ipsec.secrets , a conexão falha muito mais rápido e não vejo essas linhas de registro.
Eu acredito que o firewall está permitindo as portas UDP 500 e 4500, e o protocolo ESP, porque se eu bloquear essas portas, novamente a conexão falhará muito mais rápido.
/etc/ipsec.conf seção de conexão:
conn L2TP-PSK
authby=secret
pfs=no
rekey=no
keyingtries=3
dpddelay=30
dpdtimeout=120
dpdaction=clear
compress=yes
left=%defaultroute
leftprotoport=udp/1701
right=%any
rightprotoport=udp/0
auto=add
/etc/ipsec.secrets
VPN-SERVER-PUBLIC-IP %any: PSK "mysecretishere"
/etc/xl2tpd/xl2tpd.conf
[global] ; Global parameters:
access control = no
rand source = dev
[lns default] ; Our fallthrough LNS definition
ip range = 192.168.1.120-192.168.1.127
local ip = 192.168.1.119
require chap = yes
refuse pap = no
require authentication = yes
name = LinuxVPNserver
ppp debug = yes
pppoptfile = /etc/ppp/options.l2tp
length bit = yes
/etc/ppp/options.l2tp
ipcp-accept-local
ipcp-accept-remote
ms-dns 192.168.1.1
noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000
plugin pppol2tp.so
require-mschap-v2
A AT & T parece bloquear os pacotes UDP de entrada (não permite que eles percorram o NAT), então será muito difícil configurar o L2TP / IPsec. Eu acho que você está preso com o PPTP.
Esse erro é sua pista.
ERROR: asynchronous network error report on br1 (sport=4500) for message to 166.147.96.226 port 10682, complainant 166.147.96.226: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)
Eu já vi isso antes e toda vez que é porque o servidor host ou a rede / firewall do cliente remoto está bloqueando os pacotes ipsec. Se for um firewall ou roteador controlado pelo usuário, isso é uma correção simples (habilite o IPSEC), mas se ele estiver fora de seu controle, você estará sem sorte e terá que usar um protocolo diferente. Há alguns que dizem mudar a esquerda = 17 /% qualquer, mas isso nunca funcionou para mim (em casos raros, talvez o lado do cliente pode ser inteligente e tentar usar uma porta diferente que não pode ser bloqueada).