L2TP/IPsec посредством Openswan

Приветствую!
Есть железка Mikrotik
На нем поднят сервер по вот этому мануалу

Виндой и андроидом проверено - работает.
Пытаюсь подключиться линуксом
Вики привела меня к статье Openswan L2TP/IPsec VPN client setup
Установил xl2tpd, openswan
стартанул сервис опенсвана - всё ок, без ошибок

ipsecverify выдал

Checking if IPsec got installed and started correctly:

Version check and ipsec on-path                           [OK]
Openswan U2.6.49.1/K(no kernel code presently loaded)
See `ipsec --copyright' for copyright information.
Checking for IPsec support in kernel                      [FAILED]

 The ipsec service should be started before running 'ipsec verify'

Hardware random device check                              [N/A]
Checking rp_filter                                        [ENABLED]
 /proc/sys/net/ipv4/conf/all/rp_filter                    [ENABLED]
Checking that pluto is running                            [FAILED]
Checking NAT and MASQUERADEing                            [TEST INCOMPLETE]
Checking 'ip' command                                     [OK]
Checking 'iptables' command                               [OK]

ipsec verify: encountered errors
Дальше
/etc/ipsec.conf
config setup
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12 [b]- Честно говоря не совсем понимаю как правильно заполнить эту строку, но нужно чтоб машина получала адресацию от VPN сервера[/b]
    nat_traversal=yes
    protostack=netkey
    oe=no
# Replace eth0 with your network interface
    plutoopts=enps0 [b]- Так светится мой сетевой интерфейс командой ip addr[/b]
conn L2TP-PSK
    authby=secret
    pfs=no
    auto=add
    keyingtries=3
    dpddelay=30
    dpdtimeout=120
    dpdaction=clear
    rekey=yes
    ikelifetime=8h
    keylife=1h
    type=transport
# Replace %any below with your local IP address (private, behind NAT IP is okay as well)
    left=10.47.1.1 [b]- Локальный IP моей машины[/b]
    leftprotoport=17/1701
# Replace IP address with your VPN server's IP
    right=1.1.1.1 [b]- ip vpn сервера, моего микротика[/b]
    rightprotoport=17/1701

Дальше следует
Create the file /etc/ipsec.secrets: It should contain the following line:
%any 68.68.32.79 : PSK "your_pre_shared_key"

Что и было сделано, адрес 68.68.32.79 заменил на адрес микротика, ввел PSK (без кавычек, верно?)

Следующий шаг закончился с ошибкой
Add the connection, so it's available to use:
$ ipsec auto --add L2TP-PSK

[root@WorkArch etc]# ipsec auto --add L2TP-PSK
/usr/lib/openswan/auto: строка 155: 12308 Ошибка сегментирования                   (стек памяти сброшен на диск) ipsec addconn $config $options $names
Затем перешел к xl2tpd
/etc/xl2tpd/xl2tpd.conf

[lac vpn-connection]
lns = 1.1.1.1
ppp debug = yes
pppoptfile = /etc/ppp/options.l2tpd.client
length bit = yes
/etc/ppp/options.l2tpd.client
pcp-accept-local
ipcp-accept-remote
refuse-eap
require-mschap-v2
noccp
noauth
idle 1800
mtu 1410
mru 1410
defaultroute
usepeerdns
debug
connect-delay 5000
name мой_логин
password мой_пароль

Затем выполнил
Create the control file for xl2tpd:
$ mkdir -p /var/run/xl2tpd
$ touch /var/run/xl2tpd/l2tp-control

И запустил
systemctl start openswan

На выходе получил
[root@WorkArch xl2tpd]# systemctl start openswan
Job for openswan.service failed because the control process exited with error code.
See "systemctl status openswan.service" and "journalctl -xe" for details
[root@WorkArch ~]# systemctl status openswan.service
? openswan.service - Openswan daemon
   Loaded: loaded (/usr/lib/systemd/system/openswan.service; disabled; vendor preset: disabled)
   Active: failed (Result: exit-code) since Mon 2018-01-08 11:14:04 +11; 1min 1s ago
  Process: 10371 ExecStop=/usr/lib/systemd/scripts/ipsec --stop (code=exited, status=0/SUCCESS)
  Process: 13673 ExecStart=/usr/lib/systemd/scripts/ipsec --start (code=exited, status=139)

янв 08 11:14:04 MyArch systemd[1]: openswan.service: Service hold-off time over, scheduling restart.
янв 08 11:14:04 MyArch systemd[1]: openswan.service: Scheduled restart job, restart counter is at 5.
янв 08 11:14:04 MyArch systemd[1]: Stopped Openswan daemon.
янв 08 11:14:04 MyArch systemd[1]: openswan.service: Start request repeated too quickly.
янв 08 11:14:04 MyArch systemd[1]: openswan.service: Failed with result 'exit-code'.
янв 08 11:14:04 MyArch systemd[1]: Failed to start Openswan daemon.


Собственно - что я делаю не так? Насколько я понимаю - у ядра не включена поддержка IPSec. Как ее включить (и надо ли?) - не нашел.
Indy
Насколько я понимаю - у ядра не включена поддержка IPSec. Как ее включить (и надо ли?) - не нашел.
Поддержка по дефолту включена. Не использую vpn, но в части IP Security, насколько я помню, рекомендуют отключить отправку и прием ICMP пакетов (по умолчанию опции send_redirects, accept_redirects равны 1, нужно установить их значение равным 0). Возможно сейчас все и изменилось.
Попробуй.
EDIT 1 - кстати, у нас есть пакет ipsec-tools, никогда его не использовал, почитай, что он может - возможно и пригодится.
Ошибки не исчезают с опытом - они просто умнеют
vasek
Поддержка по дефолту включена.
Хм.. Странно, потому что я то как раз получил
Checking for IPsec support in kernel [FAILED]
Или это не то?

 опции send_redirects, accept_redirects равны 1, нужно установить их значение равным 0
Эммм.. Подскажи, пожалуйста, где это?
Или в ручную (смотри в папках ls /proc/sys/net/ipv4/conf/.../ файлы send_redirects и accept_redirects) или прописать в /etc//sysctl.d/99-sysctl.conf или следуя совету этой статьи (используя скрипт, взятый на офф. сайте), в которой как раз и описано как избежать ошибки
Indy
Checking for IPsec support in kernel [FAILED]
В догонку посмотри еще и эту статью (в которой то же советуют, чтобы IP redirects был постоянно отключен) - но это все, как писал, возможно уже и устарело, так что советую погуглить.
Ошибки не исчезают с опытом - они просто умнеют
ок, спс, погуглю.
Поскольку по поиску "l2tp ipsec arch" в первых рядах гуглится и этот топик - оставлю тут. Работает по этому рецепту (слава Максу, который навел меня на него ;-)). Делать скидку на арч (ибо мануал для центос/редхат и дебиана). Шаги "редхат/центось онли" - не выполнять.
Вдруг кому пригодится :-)
Я решил легко все вопросы с помощью strongswan. Те же яица, только удобнее.
 
Зарегистрироваться или войдите чтобы оставить сообщение.