Сервер L2TP на Debian 12 и клиент Vodafone Power Station SGH3000

Вопрос или проблема

msg = no IKE config found for <server_local_ip_addr>...<client_public_ip_addr>, sending NO_PROPOSAL_CHOSEN

# ipsec.conf - файл конфигурации strongSwan IPsec

# базовая конфигурация

config setup

conn %default
    left=%any
    leftprotoport=esp/500
    right=%any
    rightid=%any
    rightprotoport=esp/500
    rightsubnet=0.0.0.0/0
    ikelifetime=60m
    keyexchange=ikev2
    authby=secret
    #esp=no
    #esp=aes128-sha1-modp1536
    #ike=aes128-sha1-modp1536
    ike=3des-sha1-modp1024
    esp=3des-sha1

%any %any : PSK "<my_preshared_key>"

# клиент        сервер  секрет                  IP адреса

<my_user>        *       <my_password>            *

Ответ или решение

Для настройки L2TP VPN-сервера на Debian 12 с использованием xl2tpd и strongSwan, а также клиента на маршрутизаторе Vodafone SGH3000, необходимо правильно сконфигурировать параметры шифрования и аутентификации. Рассмотрим ваши текущие конфигурации и укажем возможные пути решения проблемы.

Актуальная Проблема

При попытке подключить Vodafone маршрутизатор в качестве L2TP клиента с включенным шифрованием strongSwan, вы получаете сообщение об ошибке в логах:

msg = no IKE config found for <server_local_ip_addr>...<client_public_ip_addr>, sending NO_PROPOSAL_CHOSEN

Это означает, что настройки IKE и ESP не соответствуют друг другу или не поддерживаются клиентом.

Настройки strongSwan

/etc/ipsec.conf

Ваша конфигурация выглядит следующим образом:

config setup

conn %default
    left=%any
    leftprotoport=esp/500
    right=%any
    rightid=%any
    rightprotoport=esp/500
    rightsubnet=0.0.0.0/0
    ikelifetime=60m
    keyexchange=ikev2
    authby=secret
    ike=3des-sha1-modp1024
    esp=3des-sha1

В данной конфигурации обратите внимание на следующие моменты:

1. Параметры IKE:

   • Вы используете 3des-sha1-modp1024 для IKE. Этот алгоритм может не поддерживаться некоторыми современными устройствами. Вы можете попробовать использовать более современные и безопасные алгоритмы, например aes128-sha256-ecp256.

2. Параметры ESP:

   • Для ESP у вас установлен 3des-sha1. Также рассмотрите возможность замены на более современный стандарт, например aes128-sha256.

3. compatibility with Vodafone Router:

   • Убедитесь, что маршрутизатор поддерживает те же алгоритмы шифрования и параметры. Рекомендуется обратиться к документации Vodafone SGH3000 для проверки поддерживаемых алгоритмов.

Пример обновленной конфигурации

Попробуйте заменить настройки на:

ike=aes128-sha256-modp2048
esp=aes128-sha256

Файл секретов

Ваш файл /etc/ipsec.secrets настроен корректно и должен оставаться без изменений, если он включает правильный предшествующий ключ:

%any %any : PSK "<my_preshared_key>"

Проверка конфигурации VPN

После внесения изменений рекомендуется выполнить следующие шаги:

1. Перезапустите strongSwan service:

   sudo systemctl restart strongswan

2. Проверьте логи на наличие ошибок:

   sudo journalctl -u strongswan

3. Убедитесь, что маршрутизатор настроен на использование IPSec с правильными параметрами, включая безопасность и протоколы.

Альтернативные Решения

Если проблема сохраняется, рекомендуем следующее:

• Проверьте версию firmware вашего маршрутизатора Vodafone. Если возможно, обновите её.
• Попробуйте временно отключить любые дополнительные функции безопасности на маршрутизаторе, кроме VPN.

Заключение

Настройка USB-VPN может быть сложной задачей, но правильный выбор алгоритмов шифрования и параметров конфигурации значительно улучшит шансы на успешное подключение. Убедитесь, что используете совместимые параметры на обеих сторонах. Если у вас возникнут дополнительные вопросы, не стесняйтесь задавать их, чтобы получить более целенаправленную помощь.