Nach dem Upgrade auf Linux Mint 22.3 „Zena“ basierend auf Ubuntu 24.04 LTS „Noble“ funktionierte meine L2TP/IPsec-VPN-Verbindung zu meinem Heimnetzwerk nicht mehr. Hier ist die Lösung.

Hinweis

Dieser Artikel beschreibt die Verbindung zu einem Heim-VPN, das ich über L2TP/IPsec (IKEv1) eingerichtet habe.
Zuvor nutzte ich den Tunnel, um Audio von einem Radiolautsprecher über die SoundWire-App auf mein Smartphone zu streamen.

Dieser Artikel ist keine Werbung für VPN-Internettechnologien, sondern beschreibt eine Lösung für ein technisches Problem unter Linux.

Einleitung

Beim Versuch, eine Verbindung zu einem L2TP-over-IPsec-VPN herzustellen, erscheint die Fehlermeldung „IPsec-Verbindung konnte nicht hinzugefügt werden.“** im journalctl-Log. Es scheint, als würde versucht, eine VPN-Verbindung herzustellen, diese aber nach wenigen Sekunden wieder abgebrochen. Die VPN-Verbindung wird ohne Fehlermeldung auf die kabelgebundene Verbindung zurückgesetzt.

Das journalctl-Log zeigt die NetworkManager-Warnung „Keine akzeptablen Traffic-Selektoren gefunden.“** Die Verbindung zu einem L2TP/IPsec-VPN unter Linux Green (basierend auf Linux Mint 21.3) führt nicht zu diesem Fehler. Die Verbindungsparameter sind in Linux Mint 22.3 und 21.3 identisch.

0. Linux-Version mit dem Problem

lsb_release -a

No LSB modules are available.
Distributor ID: Linuxmint
Description:    Linux Mint 22.3
Release:        22.3
Codename:       zena

1. NetworkManager „L2TP“-Plugin-Update

Dieses Update behebt zwar nicht den NetworkManager-Fehler, ermöglicht aber die korrekte Funktion von L2TP/IPsec-VPN-Verbindungen.

Linux Mint verwendet eine veraltete Version des networkmanager-l2tp-Plugins. Ich habe es auf die neueste Version aktualisiert:

1.1 Hinzufügen des PPA-Repositorys ppa:nm-l2tp/network-manager-l2tp zum System:

sudo add-apt-repository ppa:nm-l2tp/network-manager-l2tp

1.2 Hinzufügen eines Repository-Signaturschlüssels

gpg --keyserver keyserver.ubuntu.com --recv 80B70870665AB177
gpg --export 80B70870665AB177 | sudo tee /etc/apt/trusted.gpg.d/networkmanager-l2tp.gpg > /dev/null

Der Schlüssel für das NetworkManager-Repository wurde im Schlüsselbund in der Datei networkmanager-l2tp.gpg/ gespeichert.

1.3 Bearbeiten der Beschreibungsdatei des NetworkManager-L2TP-Repositorys, die in der aktuellen Version von Linux Mint unter /etc/apt/sources.list.d/nm-l2tp-network-manager-l2tp-noble.list enthalten ist:

cd /etc/apt/sources.list.d/
ls
sudo nano nm-l2tp-network-manager-l2tp-noble.list 

In der Datei habe ich die Zeile in "signed-by" von noble/keyrings in /etc/apt/trusted.gpg.d/networkmanager-l2tp.gpg ersetzt:

deb [signed-by=/etc/apt/trusted.gpg.d/networkmanager-l2tp.gpg] https://ppa.launchpadcontent.net/nm-l2tp/network-manager-l2tp/ubuntu noble main

sudo apt update
sudo apt upgrade

1.4 Neuinstallation des Pakets "networkmanager-l2tp"

sudo apt install --reinstall network-manager-l2tp network-manager-gnome

Der visuelle Unterschied zwischen der neuen und der alten Version des networkmanager-l2tp-Plugins liegt in den Textfeldern mit Farbverlauf oder Schatteneffekt.

2. Ersetzen des LibreSwan-Pakets durch StrongSwan

Da viele Anleitungen empfehlen, LibreSwan durch StrongSwan zu ersetzen, bin ich diesem Beispiel gefolgt.

sudo apt remove libreswan

Durch das Entfernen des Libreswan-Pakets wird die StrongSwan-Komponente für IPsec/L2TP-VPN automatisch installiert.

3. Bearbeiten der Konfigurationsdatei /etc/strongswan.conf

sudo nano /etc/strongswan.conf

Die Datei sollte folgendermaßen aussehen:

# strongswan.conf - strongSwan configuration file
#
# Refer to the strongswan.conf(5) manpage for details
#
# Configuration changes should be made in the included files

charon {
        load_modular = yes
        plugins {
                include strongswan.d/charon/*.conf
        }
}

include strongswan.d/*.conf

Die Standardeinstellung load_modular = no wurde durch load_modular = yes ersetzt. Wenn load_modular aktiviert ist, wird die Plugin-Liste dynamisch generiert, basierend ausschließlich auf den spezifischen Ladeeinstellungen jedes Plugins. Diese Liste ersetzt vollständig die während der Kompilierung erstellte Liste. Quelle

Drücken Sie Strg+O, Strg+X.

Wie wir sehen, verweist die Datei strongswan.conf auf die Konfigurationsdateien im Unterverzeichnis strongswan.d.

4. Bearbeiten der Konfigurationsdatei /etc/strongswan.d/charon.conf

sudo nano /etc/strongswan.d/charon.conf

Suchen Sie die Zeile "cisco_unity" und weisen Sie ihr den Wert "no" anstelle von "yes" zu. Entfernen Sie außerdem das Kommentarzeichen (#) am Zeilenanfang. Es sollte dann so aussehen:

cisco_unity = no

Diese Zeile deaktiviert das Cisco-Flag, was sich auf den Verbindungsaufbau von L2TP/IPsec (IKEv1) auswirkt.

Die Datei charon.conf ohne die Kommentarzeilen sieht folgendermaßen aus:

charon {
cisco_unity = no
    crypto_test {
    }
    host_resolver {
    }
    leak_detective {
    }
    processor {
        priority_threads {
        }
    }
    start-scripts {
    }
    stop-scripts {
    }
    tls {
    }
    x509 {
    }
}

Datei speichern: Strg+O, Strg+X.

5. Die Datei /etc/strongswan.d/charon/unity.conf erstellen

Falls die Datei nicht existiert, erstellen Sie sie:

sudo nano /etc/strongswan.d/charon/unity.conf

unity {

    # Whether to load the plugin. Can also be an integer to increase the
    # priority of this plugin.
    load = no
}

Drücken Sie Strg+O, Strg+X.

Wir sehen, dass das Laden von Unity deaktiviert ist: load=no. Das Unity-Plugin bietet libcharon-Unterstützung für Teile der Cisco Unity Extensions für das IKEv1-Protokoll.

6. Diagnose

Der Standardbefehl journalctl -xe liefert keine vollständigen Informationen zu NetworkManager-Fehlern. Wenn keine Verbindung hergestellt werden kann, zeigt das Protokoll nur die Meldung „Could not add ipsec connection.“ an, ohne den Grund anzugeben.

Führen Sie in einem separaten Terminalfenster folgenden Befehl aus, um ein detailliertes NetworkManager-Protokoll anzuzeigen:

sudo journalctl -f 20 --no-hostname _SYSTEMD_UNIT=NetworkManager.service + _COMM=kl2tpd + SYSLOG_IDENTIFIER=pppd

7. Verbindung testen

Um die Verbindung herzustellen, führen Sie folgenden Befehl im Terminal aus:

sudo nmcli c up --ask "VPN IPsec"

Dabei ist „VPN IPsec“ der Name der L2TP/IPsec-Verbindung. Alternativ können Sie die VPN-Verbindung über die grafische Benutzeroberfläche des NetworkManager-Plugins in der Taskleiste (neben der Uhr) aktivieren.

Bei erfolgreicher Verbindung zeigt nmcli die folgende Meldung im Terminal an:
"Connection successfully activated (active D-Bus path: /org/freedesktop/NetworkManager/ActiveConnection/18)"

Alternativ erscheint kurz eine Meldung über eine erfolgreiche Verbindung in der oberen Ecke des Bildschirms. Das Ethernet-Verbindungssymbol in der Taskleiste ändert sich zu einem Schlosssymbol.

Bei einer fehlgeschlagenen Verbindung überprüfen Sie das erweiterte NetworkManager-Protokoll (im aktuellen oder einem anderen Terminalfenster).

sudo journalctl -f 20 --no-hostname _SYSTEMD_UNIT=NetworkManager.service + _COMM=kl2tpd + SYSLOG_IDENTIFIER=pppd

Bei erfolgreicher Verbindung zu einem L2TP/IPsec (IKEv1)-VPN zeigt das Terminalfenster regelmäßig Meldungen zu „Keep-Alive“-Paketen an.

Quelle:

• Know issues of NetworkManager
• Solved - Help Connecting to L2TP VPN in Linux Debian 12

Verwandte Veröffentlichungen

TimeShift stoppen und deaktivieren, um Speicherplatz zu sparen

Festplattenpartitionierung zur Installation von Linux Mint auf einem alten PC mit BIOS im GPT-Modus

Aktualisierung von Linux Mint 21.3 Virginia auf Linux Mint 22.3 Zena

Entfernen von Kernel Xanmod vom Linux-Betriebssystem

Устранение отклонений при установке драйвера видеокарты nVidia