Raspberry Pi VPN client

woensdag 26 december 2018 12:15

Acties:

0 Henk 'm!

Topicstarter

Ik heb een raspberry liggen waarmee ik graag een vpn wil opzetten naar mijn unifi usg. Echter na een hoop gepruts lukt dit nog niet vanaf de linux machine. vpn verbindingen opzetten vanaf windows,android,ios gaat zonder problemen.

Op de raspberry heb ik raspbian gezet en heb deze geupdate en geupgrade. Vervolgens heb ik de package network-manager geinstalleerd samen met de vpn plugin ipsec/ikev2 (strongswan). Via de netwerk-manager kan ik een vpn profiel aanmaken en kiezen voor ipsec/ikev2 (strongswan).

Gateway address: mijn ip extern
Authentication: Pre-shared key aangemaakt in de usg
username: mijn aangemaakte user name in de usg
password: mijn password aangemaakt in de usg

Profiel aangemaakt in de network-manager en verbinden maar... hij probeert te verbinden maar na een paar seconden stopt hij er mee. Als ik de log goed lees gaat het mis op een login-failed

code:

Dec 26 11:47:11 raspberrypi NetworkManager[308]: <info>  [1545821231.6642] keyfile: update /etc/NetworkManager/system-connections/VPN-verbinding 2 (6f1f4bcc-eb47-4754-8658-226b4245bf78,"VPN-verbinding 2")
Dec 26 11:47:11 raspberrypi NetworkManager[308]: <info>  [1545821231.7046] vpn-connection[0x8680e8,6f1f4bcc-eb47-4754-8658-226b4245bf78,"VPN-verbinding 2",0]: VPN connection: (ConnectInteractive) reply received
Dec 26 11:47:11 raspberrypi charon-nm: 05[CFG] received initiate for NetworkManager connection VPN-verbinding 2
Dec 26 11:47:14 raspberrypi charon-nm: 05[CFG] using CA certificate, gateway identity 'mijnip'
Dec 26 11:47:14 raspberrypi charon-nm: 05[IKE] initiating IKE_SA VPN-verbinding 2[1] to mijnip
Dec 26 11:47:14 raspberrypi charon-nm: 05[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Dec 26 11:47:14 raspberrypi charon-nm: 05[NET] sending packet: from 192.168.60.120[35970] to mijnip[500] (1080 bytes)
Dec 26 11:47:14 raspberrypi NetworkManager[308]: <info>  [1545821234.9068] vpn-connection[0x8680e8,6f1f4bcc-eb47-4754-8658-226b4245bf78,"VPN-verbinding 2",0]: VPN plugin: state changed: starting (3)
Dec 26 11:47:14 raspberrypi NetworkManager[308]: <warn>  [1545821234.9113] vpn-connection[0x8680e8,6f1f4bcc-eb47-4754-8658-226b4245bf78,"VPN-verbinding 2",0]: VPN plugin: failed: login-failed (0)
Dec 26 11:47:14 raspberrypi charon-nm: 07[NET] received packet: from mijnip[500] to 192.168.60.120[35970] (36 bytes)
Dec 26 11:47:14 raspberrypi NetworkManager[308]: <info>  [1545821234.9117] vpn-connection[0x8680e8,6f1f4bcc-eb47-4754-8658-226b4245bf78,"VPN-verbinding 2",0]: VPN plugin: state changed: stopped (6)
Dec 26 11:47:14 raspberrypi charon-nm: 07[ENC] parsed IKE_SA_INIT response 0 [ N(NO_PROP) ]
Dec 26 11:47:14 raspberrypi charon-nm: 07[IKE] received NO_PROPOSAL_CHOSEN notify error
Dec 26 11:47:14 raspberrypi NetworkManager[308]: <info>  [1545821234.9211] vpn-connection[0x8680e8,6f1f4bcc-eb47-4754-8658-226b4245bf78,"VPN-verbinding 2",0]: VPN plugin: state change reason: login-failed (10)

De gegevens die ik gebruik om in te loggen werken 100% deze zijn getest op een ander device en daar gaat het zonder problemen. In de log van de USG zie de afgebroken sessie niet terug...

Iemand de gouden tip? of een andere mannier om de pi als vpn client te gebruiken?

Cloud ☁️

woensdag 26 december 2018 12:26

Acties:

+1 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Linux

Je weet ook 100% zeker dat het wachtwoord goed is ingevoerd? Heb je deze getypt of via copy/paste erin gezet? Als het goed is, slaat NetworkManager de configuratie ook ergens op. Zoek het bestand of dconf/gconf stukje op en bekijk het daar. Zou goed kunnen dan het wachtwoord gehasht wordt opgeslagen, daar heb je dan helaas niet zo heel veel aan tenzij je de hashing algoritme weet. Dan kan je proberen of er met je wachtwoord hetzelfde eruit komt of dat het ergens afgebroken wordt door aparte tekens in het wachtwoord.

Commandline FTW | Tweakt met mate

woensdag 26 december 2018 12:31

Acties:

+2 Henk 'm!

Thralas

HKLM_ schreef op woensdag 26 december 2018 @ 12:15:
Als ik de log goed lees gaat het mis op een login-failed

Dat is NetworkManager's veel te generieke error, je moet naar Strongswan kijken:

code:

1 2	Dec 26 11:47:14 raspberrypi charon-nm: 07[ENC] parsed IKE_SA_INIT response 0 [ N(NO_PROP) ] Dec 26 11:47:14 raspberrypi charon-nm: 07[IKE] received NO_PROPOSAL_CHOSEN notify error

De gegevens die ik gebruik om in te loggen werken 100% deze zijn getest op een ander device en daar gaat het zonder problemen. In de log van de USG zie de afgebroken sessie niet terug...

Yeah well, dat krijg je als je voor IPsec kiest - dat is niet zo simpel als een wachtwoordje en klaar, alle ciphersuites (phase1 én phase2) moeten overeenkomen. Een van de vele redenen om gewoon Wireguard of OpenVPN te gebruiken, en alleen IPsec als het echt niet anders kan.

Maargoed, de error is vrij duidelijk.

code:

1
2
3

        NO_PROPOSAL_CHOSEN                       14

            None of the proposed crypto suites was acceptable.

Met andere woorden: je ciphersuitekeuzes komen niet overeen.

Even controleren, en als je daar niet uitkomt posten wat je precies hebt ingesteld aan beide zijdes.

woensdag 26 december 2018 12:32

Acties:

0 Henk 'm!

MAX3400

XBL: OctagonQontrol

Kopieer je conf van je pi eens terug naar je PC ofzo en open die in Notepad en zet Word Wrap uit.

Heb wel vaker gezien dat een copy/paste via SSH ofzo toch zorgde voor een linebreak om de config 90 karakters is en de terminal maar 76 accepteerde (als voorbeeld).

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

woensdag 26 december 2018 12:58

Acties:

+1 Henk 'm!

HKLM_

Topicstarter

Hero of Time schreef op woensdag 26 december 2018 @ 12:26:
Je weet ook 100% zeker dat het wachtwoord goed is ingevoerd? Heb je deze getypt of via copy/paste erin gezet? Als het goed is, slaat NetworkManager de configuratie ook ergens op. Zoek het bestand of dconf/gconf stukje op en bekijk het daar. Zou goed kunnen dan het wachtwoord gehasht wordt opgeslagen, daar heb je dan helaas niet zo heel veel aan tenzij je de hashing algoritme weet. Dan kan je proberen of er met je wachtwoord hetzelfde eruit komt of dat het ergens afgebroken wordt door aparte tekens in het wachtwoord.

Ik heb het password via copy/paste erin gezet en als ik dan show password doe komt het overeen. Ik zal nog eens in de logs voor network-manager kijken.

Thralas schreef op woensdag 26 december 2018 @ 12:31:
[...]

Dat is NetworkManager's veel te generieke error, je moet naar Strongswan kijken:
code:
1
2
Dec 26 11:47:14 raspberrypi charon-nm: 07\[ENC] parsed IKE_SA_INIT response 0 [ N(NO_PROP) ]
Dec 26 11:47:14 raspberrypi charon-nm: 07\[IKE] received NO_PROPOSAL_CHOSEN notify error
[...]

Yeah well, dat krijg je als je voor IPsec kiest - dat is niet zo simpel als een wachtwoordje en klaar, alle ciphersuites (phase1 én phase2) moeten overeenkomen. Een van de vele redenen om gewoon Wireguard of OpenVPN te gebruiken, en alleen IPsec als het echt niet anders kan.

Maargoed, de error is vrij duidelijk.
code:
1
2
3
        NO_PROPOSAL_CHOSEN                       14

            None of the proposed crypto suites was acceptable.
Met andere woorden: je ciphersuitekeuzes komen niet overeen.

Even controleren, en als je daar niet uitkomt posten wat je precies hebt ingesteld aan beide zijdes.

Zal eens in de ciphersuite keuzen duiken....

MAX3400 schreef op woensdag 26 december 2018 @ 12:32:
Kopieer je conf van je pi eens terug naar je PC ofzo en open die in Notepad en zet Word Wrap uit.

Heb wel vaker gezien dat een copy/paste via SSH ofzo toch zorgde voor een linebreak om de config 90 karakters is en de terminal maar 76 accepteerde (als voorbeeld).

Ik doe alles via de GUI op de Pi

en vanuit daar met de gui/teminal

Cloud ☁️

Onderwerpen