#1 29.01.2019 22:55:29

taumeister
Mitglied

[gelöst]Verlässliche l2tp ipsec Anleitung

Hi,

ich habe mich jetzt einige Tage an allen möglichen Anleitungen für ein l2tp ipsec vpn mit preshared key durchgearbeitet und bekomme es unter Arch Linux nicht ans laufen.
Weder auf meiner richtigen Maschine, noch in einer frischen VM.
Die Probleme und Fehler sind vielseitig ( kann ich gern noch nachreichen ) und immer anders.
Mal funktioniert es nicht mit dem laufenden Kernel, mal funktioniert das Kompilieren des l2tp-git irgendwas am Ende nicht.

Ich habe vor ca 2 Jahren für die 3 Mann Firma eines Freundes dieser Anleitung nach https://github.com/hwdsl2/setup-ipsec-vpn, auf Basis von Debian einen VPN Server installiert,
mit dem ich mich auch mit allen Clients verbinden kann.
Via MAC OS und iPhone, Windows, mit Ubuntu, Deepin usw.
Habs grad nochmal getestet.
Deepin (Debian) VM erstellt, Networkmanager meine Konfiguration gegeben. VPN steht, nur mit Arch bekomme ich es nicht hin.

Hat das jemand schon mal mit Arch umgesetzt und hat vielleicht eine verlässliche Anleitung und oder Tipps?

Info: Bevor ich hier frage, habe ich natürlich schon selber sehr viel probiert.
Gelesen und getestet habe ich :
https://wiki.archlinux.org/index.php/Op … ient_setup
https://bbs.archlinux.org/viewtopic.php?id=235134
https://www.bestvpnz.com/tutorials/how- … trongswan/

Beitrag geändert von taumeister (01.02.2019 17:00:02)

Offline

#2 29.01.2019 23:23:23

hcjl
Mitglied

Re: [gelöst]Verlässliche l2tp ipsec Anleitung

Du hast sehr ausschweifend geschrieben, dass Du viele Fehler auf vielen Rechner hast, aber nicht einen konkreten Hinsweis geliefert. Du solltest als erstes die Probleme und entsprechende Log-Dateien posten (in Code Tags).

Beitrag geändert von hcjl (29.01.2019 23:24:16)

Offline

#3 30.01.2019 10:53:04

taumeister
Mitglied

Re: [gelöst]Verlässliche l2tp ipsec Anleitung

Hi hcjl,
du hast grundsätzlich recht, ich wollte aber erstmal keine Aufarbeitung, das ufert meist sowieso in 60 Meinungen mit 6000 Lösungen aus.
Ich wollte eigentlich auf Antworten hinaus wie:

"Ja klar, ist ein bekanntes Problem unter Arch, bitte besser diese Anleitung mit dieser Variante benutzen", oder 
"Vergiss das mit Arch, nimm was anderes dafür" oder
"Ich hab das selber schon mal umgesetzt, du musst hier aber folgendes beachten"

Ich hab das jetzt 5 mal installiert, da habe ich ja nicht alle Fehlermeldungen behalten.

Aber ok, ich werde das nochmal systematisch durchführen und mitprotokollieren und Fehler hier posten.
Danke.

Offline

#4 30.01.2019 11:10:08

damarges
Mitglied

Re: [gelöst]Verlässliche l2tp ipsec Anleitung

Würde mich der Frage anschließen! So ein vorkonfiguriertes Ubuntu lässt einfach einen network-manager-l2tp nachinstallieren und dann ist es mit Bordmitteln einsetzbar. Das fehlt mir in meinem Antergos Arch.
Hoffe auch auf Hilfe

Offline

#5 30.01.2019 12:42:14

skull-y
Mitglied

Re: [gelöst]Verlässliche l2tp ipsec Anleitung

@damarges

Antergos ist nicht gleich Arch, wie du festgestellt haben solltest.

Offline

#6 30.01.2019 12:49:10

taumeister
Mitglied

Re: [gelöst]Verlässliche l2tp ipsec Anleitung

Aber trotzdem,

hat das hier schon mal jemand mit Arch umgesetzt? Würde mich mal interessieren bevor ich mich auf eine
' Mach-mal-hier und kompilier-mal-da und haste schon das gelesen und RTFM und link hier und da -Orgie einlasse..:=)

@skull-y Das sollte aber für dieses Problem nicht viel ausmachen oder?

Offline

#7 30.01.2019 13:09:12

skull-y
Mitglied

Re: [gelöst]Verlässliche l2tp ipsec Anleitung

Sollte, könnte aber. Siehe einfach damarges' ersten Thread. Wie du ja selber schreibst, funktioniert es ja mit Debian.

Ich habe mir mal den Wiki-Artikel zu Openswan durchgelesen und pflichte hcjl bei, dass ohne Fehlermeldungen nicht wirklich geholfen werden kann. Auch deine erstellten Konfigurationen könnten Fehler beinhalten, da wären die von dir erhofften Antworten nicht hilfreich.

Offline

#8 30.01.2019 13:17:43

taumeister
Mitglied

Re: [gelöst]Verlässliche l2tp ipsec Anleitung

Klar, sehe ich ein.
Ich hab hier auf der Arbeit ein Arch auf einem der Hyper-Vs.
Ich exerzier das gerade durch und zwar die Anleitung von
https://wiki.archlinux.org/index.php/Op … ient_setup

Ich berichte später.
Danke erstmal

Offline

#9 31.01.2019 00:38:02

taumeister
Mitglied

Re: [gelöst]Verlässliche l2tp ipsec Anleitung

...trommelwirbel...es funktionert...irgendwie...

Ich habe die Anleitung also nochmal auf einem jungfräulichem Arch installiert und konnte den Tunnel aufbauen.
Dokus liefere ich noch.
KurzInfos:
192.168.5.0      - mein internes Netz
192.168.5.135  - die Arch Linux Maschine auf der ich aktuell das VPN einrichten möchte (ARCH CLIENT)
192.168.1.0      - entferntes Netz in das geroutet werden soll
192.168.42.0    - VPN Netz
DEEPIN VM      - Tunnel funktioniert ohne Zutun und dient als Referenz

-----------------------------------------------------------------------------------------------

Also der Tunnel steht, aktuell funktioniert das Routing nicht, ich bekomme also keine Adresse aus dem Zielnetz angesteuert und ab hier finde ich die Dokumentation auch etwas undurchsichtig.
Subnetting und Routing war aber auch noch nie meine Stärke.

Ich habe meine Einstellungen und Ergebnisse mal mit meiner Deepin VM verglichen, wenn ich den Tunnel aufmache, folgendes ist mir dabei aufgefallen.

DEEPIN VM:
ifconfig   'inet und destination beides im VPN Netz'

 ppp0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1280
        inet 192.168.42.10 netmask 255.255.255.255  destination 192.168.42.1
        ppp  txqueuelen 3  (Punkt-zu-Punkt-Verbindung)
        RX packets 34  bytes 2869 (2.8 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 42  bytes 2666 (2.6 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

ARCH CLIENT
Hier sieht man, dass bei 'inet' am ppp0 Interface meine lokale IP Adresse steht, sollte da nicht auch
eine VPN-Adresse stehen wie oben in der Deepin VM?

ppp0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1280
        inet 192.168.5.135  netmask 255.255.255.255  destination 192.168.42.1
        ppp  txqueuelen 3  (Point-to-Point Protocol)
        RX packets 3  bytes 48 (48.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 8  bytes 354 (354.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.5.135  netmask 255.255.255.0  broadcast 192.168.5.255
        inet6 fe80::f140:853:569f:2f4b  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:48:5c:18  txqueuelen 1000  (Ethernet)
        RX packets 239  bytes 40514 (39.5 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 143  bytes 19988 (19.5 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
 

DEEPIN VM
route 'nachdem der Tunnel aufgebaut wurde..'

Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
default         0.0.0.0         0.0.0.0         U     50     0        0 ppp0
default         192.168.5.254   0.0.0.0         UG    100    0        0 ens33
p578c7c6c.dip0. 192.168.5.254   255.255.255.255 UGH   100    0        0 ens33
192.168.5.0     0.0.0.0         255.255.255.0   U     100    0        0 ens33
192.168.5.254   0.0.0.0         255.255.255.255 UH    100    0        0 ens33
192.168.42.1    0.0.0.0         255.255.255.255 UH    50     0        0 ppp0

ARCH Client
Laut Anleitung soll ich hier eine Route für das Zielnetz über das VPN Gateway erstellen, wäre dann
bei mir
ip route add 192.168.1.0/24 via 192.168.42.1 dev ppp0

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         _gateway        0.0.0.0         UG    100    0        0 eth0
192.168.1.0     192.168.42.1    255.255.255.0   UG    0      0        0 ppp0
192.168.5.0     0.0.0.0         255.255.255.0   U     100    0        0 eth0
192.168.42.1    0.0.0.0         255.255.255.255 UH    0      0        0 ppp0

Auch hier sieht die Routingtabelle etwas anders aus als im funktionierenden Beispiel der DEEPIN VM.

Zu guter Letzt noch der VPN Server selber, der zeigt auch unterschiedliche Ergebnisse.
Wenn er mit der funktionierenden Deepin VM verbunden ist, zeigt ip a zwei Adressen aus dem VPN Netz an.

inet 192.168.42.1 peer 192.168.42.10/32 scope global pppo

Wenn er mit meinem ARCH CLIENT verbunden ist zeigt er an

 inet 192.168.42.1 peer 192.168.5.135/32 scope global ppp0

Meine Vermutung : Hier stimmt was nicht mit der IP Adresse (inet) auf dem ppp0 Adapter an meinem ARCH CLIENT PLUS Routing.

Wer jetzt noch folgen kann und einen guten Tipp hat, dem wäre ich sehr dankbar :=)

Vielen Dank fürs Mitdenken,
Grüße und Gute Nacht

Beitrag geändert von taumeister (31.01.2019 00:53:36)

Offline

#10 01.02.2019 01:36:16

taumeister
Mitglied

Re: [gelöst]Verlässliche l2tp ipsec Anleitung

Habs hin bekommen,endlich.
Der Tunnel steht und ich kann in das entfernte Netz.

Meinem jetzigen Erfahrung nach, ist die Doku https://wiki.archlinux.org/index.php/Op … ient_setup nicht ganz richtig,
oder die Lösung ist einfach anders.

Bspw. muss in der ipsec.conf
left=ipadresse mit
left=%defaultroute getauscht und
auto=add
ergänzt werden.
Dann gibt es drei Routen, die zu erstellen sind und es funktioniert.

Jetzt wird auch auf dem ppp0 Interface eine eigene Adresse aus dem VPN Netz erstellt.

Ich werde meine eigene Anleitung morgen/übermorgen ins Reine bringen, dann an einer neuen VM nochmal prüfen und gern hier posten.

Grüße und Gute Nacht

PS. und hoffentlich die Tage eine angenehmere Lösung via GUI zu finden.
Zumindest um das VPN dann ein und aus zu schalten, wir sind ja nicht mehr im 18ten Jahrhundert, oder? :=)

Beitrag geändert von taumeister (01.02.2019 01:37:00)

Offline

#11 01.02.2019 15:57:49

taumeister
Mitglied

Re: [gelöst]Verlässliche l2tp ipsec Anleitung

Falls das noch jemand liest.
Ich habe die Dokumentation fertig und nochmal gegen eine frische ArchLinux Installation in VMWare getestet.
Werde Sie jetzt auch auf meinem richtigen System einsetzen.
Gut, dass ich jetzt nicht mehr die Deepin VM dafür hochfahren muss, war ja peinlich :=)

Ich habe für mich eine Copy-and-Paste Anleitung in OneNote erstellt, die ich gern teilen würde.
Soll ich die hier irgendwie abwerfen, verlinken, was auch immer?

Grüße

Offline

#12 01.02.2019 20:52:04

skull-y
Mitglied

Re: [gelöst]Verlässliche l2tp ipsec Anleitung

Du kannst dazu eine Wiki-Artikel verfassen und/oder den auf archlinux.org anpassen.

Offline

#13 01.02.2019 21:47:54

taumeister
Mitglied

Re: [gelöst]Verlässliche l2tp ipsec Anleitung

nun ja, ich dokumentiere natürlich viel IT Kram für unsere Firma, aber ob sowas die Klasse hätte einen Wiki-Artikel für die ganze Welt zu verfassen...hm,
aber grundsätzlich hätte ich da nichts gegen.
Wie kann das denn aussehen, welches Format muss sowas haben, wer ist verantwortlich für die Artikel, wer liest das gegen usw. usw.

Grüße

Beitrag geändert von taumeister (01.02.2019 21:48:54)

Offline

#14 01.02.2019 21:56:53

chepaz
Mitglied

Re: [gelöst]Verlässliche l2tp ipsec Anleitung

taumeister schrieb:

Wie kann das denn aussehen, welches Format muss sowas haben, wer ist verantwortlich für die Artikel, wer liest das gegen usw. usw.
Grüße

Zu 1.)
https://wiki.archlinux.de/title/Gute_Be … _schreiben

Zu 2.)
Jeder Archlinuxinteressierte den das Thema interessiert und des deutschen mächtig ist.

Einfach machen. Grammar- und Formatierungsfetischisten finden sich von alleine - das muss man halt aushalten wink

Offline

#15 01.02.2019 22:24:32

taumeister
Mitglied

Re: [gelöst]Verlässliche l2tp ipsec Anleitung

Hi chepaz,

danke für deine Antwort.
Was, wenn ich den vorhandenen Artikel einfach um die Dinge ergänzen wollte, dich ich wichtig finde und mögliche Fehler korrigieren will.
Irgendeiner muss sich doch dafür verantwortlich zeigen und sagen, du darfst da dran rummachen und du nicht...oder?

Offline

#16 02.02.2019 10:34:27

chepaz
Mitglied

Re: [gelöst]Verlässliche l2tp ipsec Anleitung

taumeister schrieb:

Irgendeiner muss sich doch dafür verantwortlich zeigen ...

Dirk hat da etwas den Hut auf...

taumeister schrieb:

... und sagen, du darfst da dran rummachen und du nicht...oder?

...aber nicht ganz in diesem Sinn. Das "machen" an sich kann und darf jeder angemeldete - ob dein Artikel so bleibt wie du ihn geschrieben hast wird sich dann zeigen.

Ich habe auch schon eine Handvoll geschrieben und die erkenne ich kaum wieder nach einiger Zeit. Andere sind irgendwann als überflüssig in die Tonne gewandert smile So ist das einfach.

Offline

Schnellantwort auf dieses Thema

Schreibe deinen Beitrag und versende ihn
Deine Antwort

Fußzeile des Forums