После обновления версии Linux Mint на 22.3 "Zena" на основе Ubuntu 24.04 LTS "Noble" у меня перестало работать VPN-подключение L2TP/IPsec к домашней сети. Привожу решение.

Замечание

Данная статья рассказывает о подключении к домашнему VPN, который у меня типа L2TP/IPsec (IKEv1).
Тоннель использовался мною ранее для трансляции звука с динамика радиостанции на смартфон через приложение SoundWire.

Статья не является рекламой интернет-технологий VPN, а рассказывает о решении технической проблемы работы ОС Linux.

Введение

Ошибка "Could not add ipsec connection." возникает в журнале journalctl при попытке сетевого соединения к VPN типа "L2TP через IPsec" ("L2TP over IPsec"). Внешне это выглядит как попытка соединения к VPN и разрыв через пару секунд. Подключение к VPN сбрасывается на проводное без выдачи сообщения об ошибке на экран.

В журнале journalctl видно предупреждение NetworkManager "no acceptable traffic selectors found".
Подключение к VPN типа L2TP/IPsec в операционной системе Linux Green на основе Linux Mint 21.3 не даёт такой ошибки. Параметры подключения в версиях Linux Mint 22.3 и 21.3 одинаковые.

0. Версия Linux с проблемой

lsb_release -a

No LSB modules are available.
Distributor ID: Linuxmint
Description:    Linux Mint 22.3
Release:        22.3
Codename:       zena

1. Обновление плагина NetworkManager "L2TP"

Это обновление не устраняет ошибку NetworkManager, но способствует правильной работе соединений VPN L2TP/IPsec.

В Linux Mint устаревшая версия плагина networkmanager-l2tp. Выполнил обновление его до последней версии:

1.1 Добавление в систему PPA-репозитория ppa:nm-l2tp/network-manager-l2tp:

sudo add-apt-repository ppa:nm-l2tp/network-manager-l2tp

1.2 Добавление ключа подписи репозитория

gpg --keyserver keyserver.ubuntu.com --recv 80B70870665AB177
gpg --export 80B70870665AB177 | sudo tee /etc/apt/trusted.gpg.d/networkmanager-l2tp.gpg > /dev/null

Ключ от репозитория netoworkmanager был сохранен в связку ключей в файле networkmanager-l2tp.gpg/

1.3 Редактирование файла описания репозитория networkmanager-l2tp, которое содержится в текущей версии Linux Mint в файле /etc/apt/sources.list.d/nm-l2tp-network-manager-l2tp-noble.list :

cd /etc/apt/sources.list.d/
ls
sudo nano nm-l2tp-network-manager-l2tp-noble.list 

В файле я заменил строку в "signed-by" вместо noble/keyrings на /etc/apt/trusted.gpg.d/networkmanager-l2tp.gpg :

deb [signed-by=/etc/apt/trusted.gpg.d/networkmanager-l2tp.gpg] https://ppa.launchpadcontent.net/nm-l2tp/network-manager-l2tp/ubuntu noble main

sudo apt update
sudo apt upgrade

1.4 Переустановка пакета "networkmanager-l2tp"

sudo apt install --reinstall network-manager-l2tp network-manager-gnome

Внешнее отличие новой версии плагина networkmanager-l2tp от старого - текстовые поля с эффектом градиента или тени.

2. Замена пакета LibreSwan на StrongSwan

Поскольку во многих руководствах советуют заменить LibreSwan на StrongSwan, поступил так же.

sudo apt remove libreswan

Команда удаления пакета libreswan одновременно автоматически установит компонент StrongSwan для работы с VPN IPsec/L2TP.

3. Редактирование файла конфигурации /etc/strongswan.conf

sudo nano /etc/strongswan.conf

Файл должен выглядеть следующим образом:

# strongswan.conf - strongSwan configuration file
#
# Refer to the strongswan.conf(5) manpage for details
#
# Configuration changes should be made in the included files

charon {
        load_modular = yes
        plugins {
                include strongswan.d/charon/*.conf
        }
}

include strongswan.d/*.conf

где по умолчанию load_modular = no заменил на load_modular = yes. При включенной функции load_modular список плагинов формируется динамически, исключительно на основе настроек загрузки, специфичных для каждого плагина. Этот список полностью заменяет список, созданный во время компиляции. Источник.

Жмём Ctrl+O, Ctrl+X.

Как видим, файл strongswan.conf ссылается на файлы конфигурации в подкаталоге strongswan.d.

4. Редактирование файла конфигурации /etc/strongswan.d/charon.conf

sudo nano /etc/strongswan.d/charon.conf

находим и строку "cisco_unity" и присваиваем значение "no" вместо "yes" и удаляем в начале строки знак комментария — решетку "#". Должно быть так:

cisco_unity = no

Данная строка отключает передачу флага Cisco, что влияет на установление соединения L2TP/IPsec (IKEv1).

Файл charon.conf без учёта строк комментариев выглядит следующим образом:

charon {
cisco_unity = no
    crypto_test {
    }
    host_resolver {
    }
    leak_detective {
    }
    processor {
        priority_threads {
        }
    }
    start-scripts {
    }
    stop-scripts {
    }
    tls {
    }
    x509 {
    }
}

Сохранил файл: Ctrl+O, Ctrl+X.

5. Создание файла /etc/strongswan.d/charon/unity.conf

Если файл не существует, создадим его:

sudo nano /etc/strongswan.d/charon/unity.conf

unity {

    # Whether to load the plugin. Can also be an integer to increase the
    # priority of this plugin.
    load = no
}

Жмём Ctrl+O, Ctrl+X.

Видим, что загрузка unity отключена: load=no. Плагин Unity обеспечивает поддержку libcharon для некоторых частей расширений Cisco Unity Extensions для протокола IKEv1.

6. Диагностика

Стандартная команда journalctl -xe не дает полной информации об ошибках NetworkManager. В случае невозможности установки соединения, в журнале выводится лишь одно сообщение: "Could not add ipsec connection." без указания причины.

В отдельном окне терминала запускаем команду для вывода подробного журнала NetworkManager:

sudo journalctl -f 20 --no-hostname _SYSTEMD_UNIT=NetworkManager.service + _COMM=kl2tpd + SYSLOG_IDENTIFIER=pppd

7. Тестирование подключения

Чтобы "поднять" подключение, нужно запустить в терминале

sudo nmcli c up --ask "VPN IPsec"

где "VPN IPsec" — имя соединения L2TP/IPsec. Либо можно включить соединение VPN через графический интерфейс плагина NetworkManager на системной панели (рядом с часами).

Если подключение прошло успешно, в терминале будет выведено сообщение nmcli:
"Подключение успешно активировано (активный путь D-Bus: /org/freedesktop/NetworkManager/ActiveConnection/18)"

Либо в верхнем углу экрана на небольшое время — всплывающее сообщение об успешном подключении. Иконка соединения Ethernet на системной панели сменится на символ замка́.

Если подключение не было успешно, смотрим (в текущем или другом окне Терминала) расширенный журнал NetworkManager:

sudo journalctl -f 20 --no-hostname _SYSTEMD_UNIT=NetworkManager.service + _COMM=kl2tpd + SYSLOG_IDENTIFIER=pppd

При успешном же подключении к VPN L2TP/IPsec (IKEv1) окне терминала периодически выводятся строки о "keep-alive" пакетах.

Источник:

• Know issues of NetworkManager
• Solved - Help Connecting to L2TP VPN in Linux Debian 12

Похожие публикации

Разбивка жесткого диска для установки Linux Mint на старый ПК с BIOS в режиме GPT

Обновление Linux Mint 21.3 Virginia до Linux Mint 22.3 Zena

Удаление из ОС Linux ядра Xanmod

Устранение отклонений при установке драйвера видеокарты nVidia

Установка клиента Telegram в Linux несколькими способами