Après la mise à jour vers Linux Mint 22.3 «Zena» basé sur Ubuntu 24.04 LTS «Noble», ma connexion VPN L2TP/IPsec à mon réseau domestique a cessé de fonctionner. Voici la solution.

Remarque

Cet article décrit la connexion à un VPN domestique, que j'utilise avec le protocole L2TP/IPsec (IKEv1).

Auparavant, j'utilisais ce tunnel pour diffuser du son d'une radio vers mon smartphone via l'application SoundWire.

Cet article n'est pas une publicité pour les technologies VPN, mais décrit la solution à un problème technique sous Linux.

Introduction

L'erreur « Impossible d'ajouter une connexion IPsec »** apparaît dans le journal journalctl lors de la tentative de connexion à un VPN L2TP sur IPsec. Il semble qu'une tentative de connexion au VPN soit effectuée, puis interrompue après quelques secondes. La connexion VPN est alors rétablie sur la connexion filaire sans afficher de message d'erreur.

Le journal journalctl affiche l'avertissement de NetworkManager : « Aucun sélecteur de trafic acceptable trouvé ». La connexion à un VPN L2TP/IPsec sur un système d'exploitation Linux Green basé sur Linux Mint 21.3 ne génère pas cette erreur. Les paramètres de connexion sont identiques sur Linux Mint 22.3 et 21.3.

0. Version Linux concernée

lsb_release -a

No LSB modules are available.
Distributor ID: Linuxmint
Description:    Linux Mint 22.3
Release:        22.3
Codename:       zena

1. Mise à jour du plugin «L2TP» de NetworkManager

Cette mise à jour ne corrige pas le bogue de NetworkManager, mais elle permet aux connexions VPN L2TP/IPsec de fonctionner correctement.

Linux Mint utilise une version obsolète du plugin networkmanager-l2tp. Je l'ai mis à jour vers la dernière version :

1.1 Ajout du dépôt PPA ppa:nm-l2tp/network-manager-l2tp au système :

sudo add-apt-repository ppa:nm-l2tp/network-manager-l2tp

1.2 Ajout d'une clé de signature pour le dépôt :

gpg --keyserver keyserver.ubuntu.com --recv 80B70870665AB177
gpg --export 80B70870665AB177 | sudo tee /etc/apt/trusted.gpg.d/networkmanager-l2tp.gpg > /dev/null

La clé du dépôt networkmanager a été enregistrée dans le trousseau de clés du fichier networkmanager-l2tp.gpg/.

1.3 Modification du fichier de description du dépôt networkmanager-l2tp, contenu dans la version actuelle de Linux Mint dans le fichier /etc/apt/sources.list.d/nm-l2tp-network-manager-l2tp-noble.list :

cd /etc/apt/sources.list.d/
ls
sudo nano nm-l2tp-network-manager-l2tp-noble.list

Dans le fichier, j'ai remplacé la ligne « signed-by » de noble/keyrings par /etc/apt/trusted.gpg.d/networkmanager-l2tp.gpg :

deb [signed-by=/etc/apt/trusted.gpg.d/networkmanager-l2tp.gpg] https://ppa.launchpadcontent.net/nm-l2tp/network-manager-l2tp/ubuntu noble main

sudo apt update
sudo apt upgrade

1.4 Réinstallation du paquet « networkmanager-l2tp »

sudo apt install --reinstall network-manager-l2tp network-manager-gnome

La différence visuelle entre la nouvelle version du plugin networkmanager-l2tp et l'ancienne réside dans l'effet de dégradé ou d'ombre des champs de texte.

2. Remplacement du paquet LibreSwan par StrongSwan

De nombreux guides recommandant de remplacer LibreSwan par StrongSwan, j'ai suivi la même procédure.

sudo apt remove libreswan

La suppression du paquet libreswan installera automatiquement le composant StrongSwan pour les VPN IPsec/L2TP.

3. Modification du fichier de configuration /etc/strongswan.conf

sudo nano /etc/strongswan.conf

Le fichier devrait ressembler à ceci :

# strongswan.conf - strongSwan configuration file
#
# Refer to the strongswan.conf(5) manpage for details
#
# Configuration changes should be made in the included files

charon {
        load_modular = yes
        plugins {
                include strongswan.d/charon/*.conf
        }
}

include strongswan.d/*.conf

Où la valeur par défaut load_modular = no a été remplacée par load_modular = yes. Lorsque load_modular est activé, la liste des plugins est générée dynamiquement, uniquement en fonction des paramètres de chargement spécifiques à chaque plugin. Cette liste remplace complètement celle créée lors de la compilation. Source

Appuyez sur Ctrl+O, Ctrl+X.

Comme vous pouvez le constater, le fichier strongswan.conf fait référence aux fichiers de configuration du sous-répertoire strongswan.d.

4. Modification du fichier de configuration /etc/strongswan.d/charon.conf

sudo nano /etc/strongswan.d/charon.conf

Recherchez la ligne "cisco_unity" et remplacez « yes » par la valeur no". Supprimez ensuite le symbole de commentaire (#) en début de ligne. La ligne devrait ressembler à ceci :

cisco_unity = no

Cette ligne désactive l'indicateur Cisco, ce qui affecte l'établissement des connexions L2TP/IPsec (IKEv1).

Le fichier charon.conf sans les lignes de commentaires ressemble à ceci :

charon {
cisco_unity = no
    crypto_test {
    }
    host_resolver {
    }
    leak_detective {
    }
    processor {
        priority_threads {
        }
    }
    start-scripts {
    }
    stop-scripts {
    }
    tls {
    }
    x509 {
    }
}

Enregistrez le fichier : Ctrl+O, Ctrl+X.

5. Création du fichier /etc/strongswan.d/charon/unity.conf

Si le fichier n'existe pas, créez-le :

sudo nano /etc/strongswan.d/charon/unity.conf

unity {

    # Whether to load the plugin. Can also be an integer to increase the
    # priority of this plugin.
    load = no
}

Appuyez sur Ctrl+O, Ctrl+X.

Nous constatons que le chargement d'Unity est désactivé : load=no. Le plugin Unity fournit la prise en charge de libcharon pour certaines parties des extensions Cisco Unity pour le protocole IKEv1.

6. Diagnostics

La commande standard journalctl -xe ne fournit pas d'informations complètes sur les erreurs de NetworkManager. Si une connexion ne peut pas être établie, le journal affiche uniquement le message : « Impossible d'ajouter une connexion IPsec. », sans préciser la raison.

Dans une fenêtre de terminal séparée, exécutez la commande suivante pour afficher un journal détaillé de NetworkManager :

sudo journalctl -f 20 --no-hostname _SYSTEMD_UNIT=NetworkManager.service + _COMM=kl2tpd + SYSLOG_IDENTIFIER=pppd

7. Test de la connexion

Pour démarrer la connexion, exécutez dans le terminal :

sudo nmcli c up --ask "VPN IPsec"

où « VPN IPsec » est le nom de la connexion L2TP/IPsec. Vous pouvez également activer la connexion VPN via l'interface graphique du plugin NetworkManager dans la barre d'état système (près de l'horloge).

Si la connexion réussit, nmcli affichera le message suivant dans le terminal :
"Connection successfully activated (active D-Bus path: /org/freedesktop/NetworkManager/ActiveConnection/18)"

Vous pouvez également afficher brièvement un message de confirmation de connexion dans le coin supérieur de l'écran. L'icône de connexion Ethernet dans la barre d'état système se transformera en cadenas.

Si la connexion a échoué, consultez le journal étendu de NetworkManager (dans la fenêtre Terminal actuelle ou une autre) :

sudo journalctl -f 20 --no-hostname _SYSTEMD_UNIT=NetworkManager.service + _COMM=kl2tpd + SYSLOG_IDENTIFIER=pppd

Lorsqu'une connexion à un VPN L2TP/IPsec (IKEv1) est établie, la fenêtre Terminal affiche périodiquement des messages concernant les paquets de maintien de connexion.

Source :

• Know issues of NetworkManager
• Solved - Help Connecting to L2TP VPN in Linux Debian 12

Publications connexes

Arrêtez et désactivez TimeShift pour économiser de l'espace disque

Partitionnement du disque dur pour installer Linux Mint sur un ancien PC avec BIOS en mode GPT

Mise à jour de Linux Mint 21.3 Virginia vers Linux Mint 22.3 Zena

Suppression du noyau Xanmod d'un système d'exploitation Linux

Устранение отклонений при установке драйвера видеокарты nVidia