ipsec/l2tp VPN升级Libreswan之后无法连接成功的错误以及修复

问题

海外服务器用得好好的,结果因为”开会“的原因,长城宽带那里做了限制一度无法使用海外服务器,打电话沟通了两天说实在没办法解决这个问题,随口问了一句宽带还多久到期,答复是四天后!!狂喜,终于可以换宽带了!!(之前租住的房子,就是因为长城宽带买通了小区物业硬生生不让联通/电信光纤接入,能坐在联通/电信爸爸头上拉屎的长城宽带只能用一个屌字来形容了),赶紧联系了自如管家到期换网,换网之后,终于又能正常访问海外服务器了,激动。

结果在使用手机连接VPN的时候一直连接不上,奇了怪了,上次连还好好地啊,于是上机器看日志,结果发现一直报错:packet from EE:FF:GG:HH:500: initial Main Mode message received on AA.BB.CC.DD:500 but no connection has been authorized with policy PSK+IKEV1_ALLOW,从字面意义上来看是没有连接建立,贴到google上查找一番,无果。。

查错

越想越不对劲,毕竟,上次还用的好好地呢,啥也没动过就中间yum upgrade了一下,怎么就不能用了呢?等等!?突然意识到,中间做过一次升级,打开了ipsec的日志,查找了一下最后一次连接成功的日志,发现是在3周之前,中间确实只做过一次升级,于是继续翻日志找到了版本信息,还真是,Libreswan Version原本是3.15结果现在变成了3.20,猜测可能是那里配置修改了?但是翻官方文档吧,又觉得麻烦,想到ipsec在启动的时候是会打印启动日志的,于是抱着试一试的心态比对一下,首先从先前的日志文件将正确的启动日志找了出来,然后和今晚的启动日志作对比,结果真有发现!

Failed to add connection “L2TP-PSK-NAT” : cannot have protoport with %any on both sides

Failed to add connection “L2TP-PSK-noNAT” : cannot have protoport with %any on both sides

看来真的是由于升级导致配置文件有少许变更导致的,man ipsec.conf 简单看了一下配置文件中 leftprotoport的定义,将%any 改成了1701,正确解决了 :)

果然是升级有风险 :(

转载请注明来源链接 http://just4fun.im/2017/10/13/ipsec:l2tp-VPN升级Libreswan之后无法连接成功的错误以及修复/ 尊重知识,谢谢:)