Debian squeeze como gateway L2TP / IPSec para dispositivos Android

Navegue suas respostas
2

Estou tentando configurar o Debian squeeze como L2TP / IPSec VPN para dispositivos Android, mas sem grande sucesso.

Até agora, fiz o seguinte:

  1. Debian configurado com sucesso com a implementação do IPSec do openswan. Eu poderia conectar de dispositivos com Android 2.3, mas não de dispositivos com Android 4 devido a bug no Android 4 (mencionado aqui: link )

  2. Depois de substituir o openswan pelo racoon, chego ao ponto onde:

    • Eu posso conectar a partir do Android 4 com IPSec Xauth PSK (mas apenas do meu laptop vento Android ICS e não de tablet real com ICS. Ao conectar do tablet, meu servidor diz que o usuário foi autenticado e tudo parece estar ok, mas tablet diz "conexão sem sucesso" - mas isso é piar dispositivos China com sausagemod, então talvez isso esteja ok)
    • posso conectar usando o Cisco VPN Client
    • mas não consigo me conectar de nenhum Android usando o L2TP / IPSec PSK (prefiro este protocolo, já que essa provavelmente é a única opção suportada em todos os clientes Android, independentemente da versão)

minha configuração é a seguinte:

racoon.conf: 

path pre_shared_key "/etc/racoon/psk.txt";

log info;
listen
{
        isakmp 172.31.251.122[500];
        isakmp_natt 172.31.251.122[4500];
}

timer
{
        natt_keepalive 10sec;
}

remote anonymous {
        exchange_mode aggressive;
        my_identifier fqdn "mydomain.com.pl";
        doi ipsec_doi;
        generate_policy on;
        situation_identity_only;
        lifetime time 28800 sec;
        passive on;
        initial_contact off;
        nat_traversal on;
        proposal_check obey;
        proposal {
                encryption_algorithm aes;
                hash_algorithm md5;
                authentication_method pre_shared_key;
                dh_group 2;
        }
        proposal {
                encryption_algorithm aes;
                hash_algorithm md5;
                authentication_method xauth_psk_server;
                dh_group 2;
        }
}

mode_cfg {
        auth_source system;
        network4 100.99.99.1;
        netmask4 255.255.255.0;
        pool_size 254;
        dns4 172.16.0.10;
        wins4 172.16.0.10;
        default_domain "mydomain.com.pl";
        split_network include 172.16.0.0/16;
        split_dns "mydomain.com.pl";
        save_passwd on;
        pfs_group 2;
}

sainfo anonymous {
        encryption_algorithm aes, 3des;
        authentication_algorithm hmac_sha1, hmac_md5;
        compression_algorithm deflate;
}

x2ltpd.conf: 

[global]                                        ; Global parameters:
port = 1701                                     ; * Bind to port 1701
auth file = /etc/ppp/chap-secrets               ; * Where our challenge secrets are
access control = no                             ; * Refuse connections without IP match
rand source = dev                               ; Source for entropy for random
#debug avp = yes
#debug network = yes
debug state = yes
debug tunnel = yes

[lns default]                                   ; Our fallthrough LNS definition
exclusive = no                                  ; * Only permit one tunnel per host
ip range = 100.99.99.1-100.99.99.254
local ip = 172.16.116.202
require chap = yes
refuse pap = yes
require authentication = yes
name = l2tp
ppp debug = yes
length bit = yes
pppoptfile = /etc/ppp/xl2tpd-options

Uma nota importante: minha caixa Debian está atrás de NAT, então o endereço 172.16.116.202 é o endereço da LAN e 172.31.251.122 é o endereço "público".

Alguma pista ou sugestão?

- editar --- @SmalllClanger:

Depois de ativar todas as opções de depuração no x2ltpd.conf, recebo o seguinte log: 

Apr 22 12:22:07 l2tp racoon: INFO: respond new phase 1 negotiation: private_ip_of_my_server[500]<=>public_ip_of_adnroid_client[500]
Apr 22 12:22:07 l2tp racoon: INFO: begin Aggressive mode.
Apr 22 12:22:07 l2tp racoon: INFO: received broken Microsoft ID: FRAGMENTATION
Apr 22 12:22:07 l2tp racoon: INFO: received Vendor ID: RFC 3947
Apr 22 12:22:07 l2tp racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
Apr 22 12:22:07 l2tp racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02#012
Apr 22 12:22:07 l2tp racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-00
Apr 22 12:22:07 l2tp racoon: INFO: received Vendor ID: DPD
Apr 22 12:22:07 l2tp racoon: INFO: Selected NAT-T version: RFC 3947
Apr 22 12:22:07 l2tp racoon: INFO: Adding remote and local NAT-D payloads.
Apr 22 12:22:07 l2tp racoon: INFO: Hashing public_ip_of_adnroid_client[500] with algo #1 
Apr 22 12:22:07 l2tp racoon: INFO: Hashing private_ip_of_my_server[500] with algo #1 
Apr 22 12:22:07 l2tp racoon: INFO: NAT-T: ports changed to: public_ip_of_adnroid_client[4500]<->private_ip_of_my_server[4500]
Apr 22 12:22:07 l2tp racoon: INFO: Hashing private_ip_of_my_server[4500] with algo #1 
Apr 22 12:22:07 l2tp racoon: INFO: NAT-D payload #0 doesn't match
Apr 22 12:22:07 l2tp racoon: INFO: Hashing public_ip_of_adnroid_client[4500] with algo #1 
Apr 22 12:22:07 l2tp racoon: INFO: NAT-D payload #1 doesn't match
Apr 22 12:22:07 l2tp racoon: INFO: NAT detected: ME PEER
Apr 22 12:22:07 l2tp racoon: INFO: ISAKMP-SA established private_ip_of_my_server[4500]-public_ip_of_adnroid_client[4500] spi:2ea51a231acb960b:e21a79f71e04b7e2
Apr 22 12:22:08 l2tp racoon: INFO: respond new phase 2 negotiation: private_ip_of_my_server[4500]<=>public_ip_of_adnroid_client[4500]
Apr 22 12:22:08 l2tp racoon: INFO: no policy found, try to generate the policy : private_ip_of_adnroid_client/32[0] public_ip_of_my_server/32[1701] proto=udp dir=in
Apr 22 12:22:08 l2tp racoon: INFO: Adjusting my encmode UDP-Transport->Transport
Apr 22 12:22:08 l2tp racoon: INFO: Adjusting peer's encmode UDP-Transport(4)->Transport(2)
Apr 22 12:22:08 l2tp racoon: INFO: IPsec-SA established: ESP/Transport public_ip_of_adnroid_client[4500]->private_ip_of_my_server[4500] spi=35407234(0x21c4582)
Apr 22 12:22:08 l2tp racoon: INFO: IPsec-SA established: ESP/Transport private_ip_of_my_server[4500]->public_ip_of_adnroid_client[4500] spi=41649440(0x27b8520)
Apr 22 12:22:08 l2tp racoon: ERROR: such policy does not already exist: "private_ip_of_adnroid_client/32[0] public_ip_of_my_server/32[1701] proto=udp dir=in"
Apr 22 12:22:08 l2tp racoon: ERROR: such policy does not already exist: "public_ip_of_my_server/32[1701] private_ip_of_adnroid_client/32[0] proto=udp dir=out"

Eu já notei para linhas dizendo: 

ERROR: such policy does not already exist: "private_ip_of_adnroid_client/32[0] public_ip_of_my_server/32[1701] proto=udp dir=in"  
ERROR: such policy does not already exist: "public_ip_of_my_server/32[1701] private_ip_of_adnroid_client/32[0] proto=udp dir=out"

qual sinal SA está errado (tanto servidor quanto cliente estão por trás do NAT, e por enquanto não tenho possibilidade de alterá-lo em nenhum dos lados)

Por isso, fiz modificações apropriadas no arquivo /etc/ipsec-tools.conf da seguinte forma: 

spdadd public_ip_of_my_server[l2tp] 0.0.0.0/0 udp -P out ipsec
        esp/transport//require;
spdadd 0.0.0.0/0 public_ip_of_my_server[l2tp] udp -P in ipsec
        esp/transport//require;

mas não ajudou.

P.S. Há também um pequeno problema adicional. Minha configuração requer que o cliente especifique tanto o nome de usuário PSK quanto a chave PSK, mas o nome de usuário PSK (identificador IPSec) pode ser especificado somente em dispositivos com Android 4. Em dispositivos com Android 2.x, não existe essa opção. Eu tentei com a substituição deste valor com ***** no arquivo psk.txt racoon, mas aganin sem sucesso. Como eu poderia especificar a chave PSK sem forçar clientes a usar identificadores IPSec?

    
por user71061 22.04.2012 / 00:16

0 respostas

Tags

automount pára de funcionar devido a processos mount.nfs que deixam o arquivo / etc / mtab ~ lock Alguém usando o Archipel em produção para gerenciar máquinas virtuais?