帶有 OSX 客戶端的 IPsec/L2TP VPN：xl2tpd 報告“超出最大重試次數”

我正在按照本指南在 Gentoo 機器上設置 IPsec/L2TP VPN 伺服器，但在連接 OS X 客戶端時遇到問題。從日誌中，我相信我的 IPsec 連接正常，但 xl2tpd 拒絕在連接過程中繼續進行。我的設置（名稱已更改）：

• 家庭伺服器直接連接到 Internet - 沒有 NAT - 在 example.com

  • vpn.example.com 是 example.com 的別名
  • 這兩個地址都是通過動態 DNS 服務提供的——example.com 的 IP 不是固定的
  • 主伺服器的內部子網是 192.168.1.0/24

• OS X 客戶端執行 10.5.6 並具有動態 IP（是“roadwarrior”）

我的配置文件如下：

ipsec.conf

2.0版

配置設置
nat_traversal=否
nhelpers=0

包括 /etc/ipsec/ipsec.d/examples/no_oe.conf

連接 L2TP-PSK-NAT
rightsubnet=vhost:%priv
也 = L2TP-PSK-noNAT

連接 L2TP-PSK-noNAT
authby=秘密
pfs = 沒有
自動=添加
密鑰嘗試 = 3
重新設置密鑰=否
類型=運輸
左=%預設路由
左原埠=17/1701
對=%任何
# 使用魔法埠“0”表示“任意一個埠”。這是
# 隨機使用 Apple OSX 客戶端所需的解決方法
# 高埠，但建議使用“0”而不是他們的埠。
rightprotoport=17/0

ipsec.secrets

：PSK“測試密鑰”

xl2tpd.conf

[全球的]
埠 = 1701
訪問控制 = 否
調試 avp = 是
調試網路 = 是
調試狀態 = 是
調試隧道 = 是

[lns 預設值]
ip 範圍 = 172.21.118.2-172.21.118.254
本地 ip = 172.21.118.1
需要 chap = 是
拒絕爸爸=是的
name = LinuxVPN
pppoptfile = /etc/ppp/options.xl2tpd
ppp 調試 = 是
長度位 = 是

選項.xl2tpd

ipcp-接受-本地
ipcp-接受-遠端
ms-dns 192.168.1.27
noccp
無認證
crtscts
閒置1800
男人1410
先生 1410
無預設路由
調試
鎖
代理arp
連接延遲 5000
無聲

和日誌條目：

*剪斷*
9 月 5 日 13:40:32 [pluto]“L2TP-PSK-noNAT”[14] 137.112.114.88 #28：STATE_QUICK_R2：IPsec SA 已建立 {ESP=>0x0cb56f8c <0x319c29ff xfrm=AES_128-HMAC_SHA1 NATD=none DPD=none}
9 月 5 日 13:40:39 [xl2tpd] 超過隧道 23214 的最大重試次數。正在關閉。_
9 月 5 日 13:40:46 [xl2tpd] 連接 70 關閉到 137.112.114.88，埠 63835（超時）_
*剪斷*

為什麼我不能讓 xl2tpd 接受連接？我什至找不到相關的 xl2tpd 日誌文件來繼續調試 - 我得到的只是 syslog 中的這兩行。

弄清楚了。我不是專家，所以我不知道為什麼會這樣，但我可以通過在conn L2TP-PSK-noNATipsec.conf 的部分添加以下行來建立連接：

leftnexthop=%defaultroute
rightnexthop=%defaultroute

引用自：https://serverfault.com/questions/178309