L2TP VPN server op Raspbian wil niet werken

dinsdag 19 december 2017 22:23

Acties:

Topicstarter

Om TV te kunnen kijken heb ik geprobeerd een VPN-server op te zetten op mijn raspberry pi met deze guide: www.tech365.nl/gebruik-je-raspberry-pi-als-l2tp-vpn-server/
Echter, wanneer ik na het exact opvolgen van de instructies met de juiste gegevens probeer te verbinden met een iphone, zegt deze na een tijdje dat de vpn-server niet reageert. Direct verbinden met het lokale ip brengt daar geen verandering in, problemen met de configuratie van het router lijken mij dus uitgesloten. Verder heb ik ook nog geprobeerd te verbinden met een windows 10 laptop zowel met het ip van buitenaf als het lokale ip, met hetzelfde resultaat. Wel lijkt het er hier op dat de vpn-server de inloggegevens wel accepteert alvorens windows zegt dat er geen verbinding mogelijk is.
Alle hulp wordt zeer op prijs gesteld, alvast bedankt

Have you tried turning it off and on again?

dinsdag 19 december 2017 22:27

Acties:

johnkeates

Wat staat er in de logs?

dinsdag 19 december 2017 23:13

Acties:

JTT

Topicstarter

johnkeates schreef op dinsdag 19 december 2017 @ 22:27:
Wat staat er in de logs?

Klinkt misschien dom, maar waar vind ik die?

Have you tried turning it off and on again?

dinsdag 19 december 2017 23:19

Acties:

rens-br

Admin IN & Moderator Mobile

@JTT binnen je interne netwerk verbinden met je VPN server is voor zover ik weet niet mogelijk.

Voor buiten je netwerk. Heb je de juiste poorten e.d. open gezet?

woensdag 20 december 2017 00:46

Acties:

Brahiewahiewa

boelkloedig

JTT schreef op dinsdag 19 december 2017 @ 22:23:
... de vpn-server niet reageert. Direct verbinden met het lokale ip brengt daar geen verandering in, problemen met de configuratie van het router lijken mij dus uitgesloten...

Brilliant! Soort van bewijs uit het ongerijmde

JTT schreef op dinsdag 19 december 2017 @ 23:13:
[...]
Klinkt misschien dom, maar waar vind ik die?

Nee hoor, klinkt niet dom. Maar ook niet echt tweakerachtig. Een beetje tweaker gaat eerst zelf op zoek naar zo'n log file. En als hij die niet vindt, gaat hij google raadplegen

rens-br schreef op dinsdag 19 december 2017 @ 23:19:
@JTT binnen je interne netwerk verbinden met je VPN server is voor zover ik weet niet mogelijk...

Hûh? Waarom zou dat niet mogelijk zijn?

QnJhaGlld2FoaWV3YQ==

woensdag 20 december 2017 08:53

Acties:

rens-br

Admin IN & Moderator Mobile

Brahiewahiewa schreef op woensdag 20 december 2017 @ 00:46:
Hûh? Waarom zou dat niet mogelijk zijn?

De technische reden weet ik helaas niet helemaal, maar ik kreeg dat destijds niet voor elkaar. Buiten mijn netwerk werkte hij prima. In mijn eigen netwerk kon ik niet verbinden.

woensdag 20 december 2017 09:06

Acties:

Axewi

rens-br schreef op woensdag 20 december 2017 @ 08:53:
[...]

De technische reden weet ik helaas niet helemaal, maar ik kreeg dat destijds niet voor elkaar. Buiten mijn netwerk werkte hij prima. In mijn eigen netwerk kon ik niet verbinden.

Binnen je eigen netwerk verbinden met je vpn kan wel maar dan zal je rechtstreeks met het interne ip moeten verbinden van de vpn server. Via je externe adres vinden routers niet zo leuk maar is met sommige routers ook mogelijk: Wikipedia: Network address translation

Zo dat is er uit, nu terug naar het probleem.
Als ik het zo lees klinkt het eerder als een timeout dan dat je actief tegengehouden wordt, draait er toevallig een firewall op je raspberry, debian maakt standaard vaak gebruik van IPtables.

Verder zou je natuurlijk je logs moeten nakijken om te kijken of je l2tp server de verbinding binnen ziet komen, (en mits logging goed ingestelt is zie je daar ook of de firewall de boel tegenhoud)

Als de lat te hoog ligt kun je er nog altijd onderdoor lopen.

woensdag 20 december 2017 09:07

Acties:

rens-br

Admin IN & Moderator Mobile

Axewi schreef op woensdag 20 december 2017 @ 09:06:
Binnen je eigen netwerk verbinden met je vpn kan wel maar dan zal je rechtstreeks met het interne ip moeten verbinden van de vpn server. Via je externe adres vinden routers niet zo leuk maar is met sommige routers ook mogelijk: Wikipedia: Network address translation

offtopic:
Dan zal dat het probleem geweest zijn. Bedankt voor de uitleg. Nu terug ontopic.

woensdag 20 december 2017 11:24

Acties:

JTT

Topicstarter

Bedankt iedereen voor de hulp tot nu toe, ik ga vanmiddag zodra ik thuis ben de logbestanden opzoeken en doorlezen+doorsturen

Verder, in het router staan poort 500, 1701 en 4500 open

[ Voor 19% gewijzigd door JTT op 20-12-2017 11:27 ]

Have you tried turning it off and on again?

woensdag 20 december 2017 16:40

Acties:

JTT

Topicstarter

johnkeates schreef op dinsdag 19 december 2017 @ 22:27:
Wat staat er in de logs?

Brahiewahiewa schreef op woensdag 20 december 2017 @ 00:46:
[...]Nee hoor, klinkt niet dom. Maar ook niet echt tweakerachtig. Een beetje tweaker gaat eerst zelf op zoek naar zo'n log file. En als hij die niet vindt, gaat hij google raadplegen[...]

Ik ben intussen te weten gekomen dat openswan logt naar auth.log
Het probleem daarmee is echter, wanneer ik een poging doe te verbinden(en dit faalt), verschijnt hier geen nieuwe info. Wel was er nog van alles van gisteren te vinden.

Auth.log:
In pastebin aangezien deze post anders kennelijk teveel inhoud heeft: https://pastebin.com/JhthYwFS

Wellicht ook interessant is het resultaat van ipsec verify:

code:

Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path                                 [OK]
Linux Openswan U2.6.38/K4.9.59-v7+ (netkey)
Checking for IPsec support in kernel                            [OK]
 SAref kernel support                                                  [N/A]
 NETKEY:  Testing XFRM related proc values               [FAILED]
 
  Please disable /proc/sys/net/ipv4/conf/*/send_redirects
  or NETKEY will cause the sending of bogus ICMP redirects!
 
    [FAILED]
 
  Please disable /proc/sys/net/ipv4/conf/*/accept_redirects
  or NETKEY will accept bogus ICMP redirects!
 
    [OK]
Hardware RNG detected, testing if used properly                 [FAILED]
 
  Hardware RNG is present but 'rngd' or 'clrngd' is not running.
  No harware random used!
 
Checking that pluto is running                                  [OK]
 Pluto listening for IKE on udp 500                             [OK]
 Pluto listening for NAT-T on udp 4500                          [OK]
Two or more interfaces found, checking IP forwarding            [FAILED]
Checking NAT and MASQUERADEing                                  [OK]
Checking for 'ip' command                                       [OK]
Checking /bin/sh is not /bin/dash                               [WARNING]
Checking for 'iptables' command                                 [OK]
Opportunistic Encryption Support                                [DISABLED]

Hopelijk zit hier iets tussen waaraan te zien is wat het probleem is..

Have you tried turning it off and on again?

woensdag 20 december 2017 18:48

Acties:

Brahiewahiewa

boelkloedig

regel 25?

QnJhaGlld2FoaWV3YQ==

vrijdag 22 december 2017 08:19

Acties:

Axewi

Brahiewahiewa schreef op woensdag 20 december 2017 @ 18:48:
regel 25?

Regel 25 slaat op zijn 2 loopback interfaces:

code:

Dec 19 20:22:06 raspberrypi pluto[4906]: adding interface eth0/eth0 192.168.1.15:500
Dec 19 20:22:06 raspberrypi pluto[4906]: adding interface eth0/eth0 192.168.1.15:4500
Dec 19 20:22:06 raspberrypi pluto[4906]: adding interface eth0/eth0 192.168.1.60:500
Dec 19 20:22:06 raspberrypi pluto[4906]: adding interface eth0/eth0 192.168.1.60:4500
Dec 19 20:22:06 raspberrypi pluto[4906]: adding interface lo/lo 127.0.0.1:500
Dec 19 20:22:06 raspberrypi pluto[4906]: adding interface lo/lo 127.0.0.1:4500
Dec 19 20:22:06 raspberrypi pluto[4906]: adding interface lo/lo ::1:500

Kan je instellen dat je vpn server alleen luistert op eth0?

Verder:

code:

Dec 19 20:30:32 raspberrypi pluto[4906]: "L2TP-PSK-NAT"[1] 192.168.1.229 #1: STATE_MAIN_R2: sent MR2, expecting MI3
Dec 19 20:30:32 raspberrypi pluto[4906]: "L2TP-PSK-NAT"[1] 192.168.1.229 #1: next payload type of ISAKMP Identification Payload has an unknown value: 61
Dec 19 20:30:32 raspberrypi pluto[4906]: "L2TP-PSK-NAT"[1] 192.168.1.229 #1: probable authentication failure (mismatch of preshared secrets?): malformed payload in packet
Dec 19 20:30:32 raspberrypi pluto[4906]: | payload malformed after IV

En de laatste poging uit je log:

code:

1
2
3

Dec 19 20:44:43 raspberrypi pluto[4906]: "L2TP-PSK-NAT"[3] 192.168.1.229 #5: probable authentication failure (mismatch of preshared secrets?): malformed payload in packet
Dec 19 20:44:55 raspberrypi pluto[4906]: "L2TP-PSK-NAT"[3] 192.168.1.229 #5: next payload type of ISAKMP Identification Payload has an unknown value: 172
Dec 19 20:44:55 raspberrypi pluto[4906]: "L2TP-PSK-NAT"[3] 192.168.1.229 #5: probable authentication failure (mismatch of preshared secrets?): malformed payload in packet

Afgaande op deze log denk ik dat je preshared key niet in orde is.

Als laatste:

code:

Dec 19 20:31:38 raspberrypi pluto[4906]: "L2TP-PSK-NAT"[1] 192.168.1.229 #2: the peer proposed: 192.168.1.15/32:17/1701 -> 192.168.1.229/32:17/0
Dec 19 20:31:38 raspberrypi pluto[4906]: "L2TP-PSK-NAT"[1] 192.168.1.229 #2: peer proposal was reject in a virtual connection policy because:
Dec 19 20:31:38 raspberrypi pluto[4906]: "L2TP-PSK-NAT"[1] 192.168.1.229 #2:   a private network virtual IP was required, but the proposed IP did not match our list (virtual_private=)
Dec 19 20:31:38 raspberrypi pluto[4906]: "L2TP-PSK-NAT"[1] 192.168.1.229 #2: NAT-Traversal: received 2 NAT-OA. using first, ignoring others
Dec 19 20:31:38 raspberrypi pluto[4906]: "L2TP-PSK-noNAT"[1] 192.168.1.229 #3: responding to Quick Mode proposal {msgid:b8b07ddb}
Dec 19 20:31:38 raspberrypi pluto[4906]: "L2TP-PSK-noNAT"[1] 192.168.1.229 #3:     us: 192.168.1.15<192.168.1.15>:17/1701

Zorg ervoor dat de ip reeks die je uitdeelt aan je vpn clients buiten je lan subnet ligt. Vervolgens kan je met routes je verkeer naar je lan subnet routeren.

Als de lat te hoog ligt kun je er nog altijd onderdoor lopen.

Vraag

Alle reacties