[linux-l] VPN mit L2TP/IPsec unter Linux Mint 19 einrichten

Norman Steinbach norm at nsteinbach.de
Fr Jul 26 15:44:25 CEST 2019


Hallo Liste,

weil bei meinem Arbeitgeber alle außer mir Wintendo 10 benutzen, wurde 
mir jetzt ein VPN-Zugang nicht per OpenVPN, sondern per L2TP/IPsec 
aufgedrückt (und unter Microsoft ist das einfacher...)

Beim Einrichten gehe ich nach dieser Anleitung vor:
https://site.elastichosts.com/blog/linux-l2tpipsec-vpn-client/

Die passt soweit, außer den folgenden Kleinigkeiten: openswan heißt 
jetzt libreswan; und der Dienst wird natürlich über service start 
gestartet, statt init.de. Das WLAN-Interface, über das die 
VPN-Verbindung hergestellt werden soll, heißt wlp3s0 - das habe ich 
alles berücksichtigt.

Trotzdem komme ich an dem Punkt "/etc/init.d/ipsec start" in der 
Anleitung (bzw. dem systemd-Pendant dazu) nicht weiter, bzw. habe nur 
Fehlermeldungen, deren Eingabe bei Google mich jedoch nicht schlauer 
werden lässt:

> root at ThinkPad-X220:~# service ipsec start
> Job for ipsec.service failed because the control process exited with error code.
> See "systemctl status ipsec.service" and "journalctl -xe" for details.
> root at ThinkPad-X220:~# systemctl status ipsec.service
> ● ipsec.service - Internet Key Exchange (IKE) Protocol Daemon for IPsec
>    Loaded: loaded (/lib/systemd/system/ipsec.service; disabled; vendor preset: disabled)
>    Active: failed (Result: exit-code) since Fri 2019-07-26 14:36:19 CEST; 18s ago
>      Docs: man:ipsec(8)
>            man:pluto(8)
>            man:ipsec.conf(5)
>   Process: 21234 ExecStopPost=/usr/sbin/ipsec --stopnflog (code=exited, status=0/SUCCESS)
>   Process: 21233 ExecStopPost=/sbin/ip xfrm state flush (code=exited, status=0/SUCCESS)
>   Process: 21232 ExecStopPost=/sbin/ip xfrm policy flush (code=exited, status=0/SUCCESS)
>   Process: 21231 ExecStartPre=/usr/lib/ipsec/addconn --config /etc/ipsec.conf --checkconfig (code=exited, status=3)
> 
> Jul 26 14:36:19 ThinkPad-X220 systemd[1]: ipsec.service: Service hold-off time over, scheduling restart.
> Jul 26 14:36:19 ThinkPad-X220 systemd[1]: ipsec.service: Scheduled restart job, restart counter is at 5.
> Jul 26 14:36:19 ThinkPad-X220 systemd[1]: Stopped Internet Key Exchange (IKE) Protocol Daemon for IPsec.
> Jul 26 14:36:19 ThinkPad-X220 systemd[1]: ipsec.service: Start request repeated too quickly.
> Jul 26 14:36:19 ThinkPad-X220 systemd[1]: ipsec.service: Failed with result 'exit-code'.
> Jul 26 14:36:19 ThinkPad-X220 systemd[1]: Failed to start Internet Key Exchange (IKE) Protocol Daemon for IPsec.

Weil dort was von disabled steht, habe ich auf gut Glück nochmal diesen 
Befehl abgesetzt:
> root at ThinkPad-X220:~# systemctl enable ipsec.service
> Created symlink /etc/systemd/system/multi-user.target.wants/ipsec.service → /lib/systemd/system/ipsec.service.

Aber auch das hat nicht weitergeholfen, danach sieht es noch fast 
genauso aus, nur dass dort jetzt enabled steht:

> root at ThinkPad-X220:~# service ipsec start
> Job for ipsec.service failed because the control process exited with error code.
> See "systemctl status ipsec.service" and "journalctl -xe" for details.
> root at ThinkPad-X220:~# systemctl status ipsec.service
> ● ipsec.service - Internet Key Exchange (IKE) Protocol Daemon for IPsec
>    Loaded: loaded (/lib/systemd/system/ipsec.service; enabled; vendor preset: disabled)
>    Active: failed (Result: exit-code) since Fri 2019-07-26 14:43:10 CEST; 8s ago
>      Docs: man:ipsec(8)
>            man:pluto(8)
>            man:ipsec.conf(5)
>   Process: 22226 ExecStopPost=/usr/sbin/ipsec --stopnflog (code=exited, status=0/SUCCESS)
>   Process: 22225 ExecStopPost=/sbin/ip xfrm state flush (code=exited, status=0/SUCCESS)
>   Process: 22224 ExecStopPost=/sbin/ip xfrm policy flush (code=exited, status=0/SUCCESS)
>   Process: 22223 ExecStartPre=/usr/lib/ipsec/addconn --config /etc/ipsec.conf --checkconfig (code=exited, status=3)
> 
> Jul 26 14:43:10 ThinkPad-X220 systemd[1]: ipsec.service: Service hold-off time over, scheduling restart.
> Jul 26 14:43:10 ThinkPad-X220 systemd[1]: ipsec.service: Scheduled restart job, restart counter is at 5.
> Jul 26 14:43:10 ThinkPad-X220 systemd[1]: Stopped Internet Key Exchange (IKE) Protocol Daemon for IPsec.
> Jul 26 14:43:10 ThinkPad-X220 systemd[1]: ipsec.service: Start request repeated too quickly.
> Jul 26 14:43:10 ThinkPad-X220 systemd[1]: ipsec.service: Failed with result 'exit-code'.
> Jul 26 14:43:10 ThinkPad-X220 systemd[1]: Failed to start Internet Key Exchange (IKE) Protocol Daemon for IPsec.

Dementsprechend funktioniert der nächste Befehl in der Anleitung auch nicht:
> root at ThinkPad-X220:~# ipsec auto --up L2TP-PSK
> whack: Pluto is not running (no "/run/pluto/pluto.ctl")


Hat jemand Erfahrungen mit der Einrichtung von L2TP/IPsec VPNs, und kann 
mir hierbei weiterhelfen?

Wo finde ich heraus, weshalb der IKE Protocol Daemon nicht gestartet 
werden konnte, bzw. was der exit code 3 bei addcon bedeutet?

Oder muss ich noch eine weitere Änderung in der ipsec.conf vornehmen, 
außer mein WLAN-Interface dort einzutragen?


Danke & viele Grüße,

Norman


Mehr Informationen über die Mailingliste linux-l