Mac OS X：从 python 脚本中更改 $PATH

Question

Tim Beekley

Asked: 2021-03-03 18:17:25 +0800 CST2021-03-03 18:17:25 +0800 CST 2021-03-03 18:17:25 +0800 CST

L2TP 问题 AWS EC2

772

我正在尝试在 AWS VPC 中设置 l2tp，但遇到了问题。

我使用的是 MAC 操作系统，但一直收到错误消息“无法建立与 PPP 服务器的连接。请尝试重新连接。如果问题仍然存在，请验证您的设置并联系您的管理员。” 来自 Mac 的其他 l2tp 连接可以正常工作，所以我认为这是与 AWS 网络有关的服务器端配置问题。

服务器确实有一个 EIP，并且安全组对流量开放。我也设置了UDP封装，但没有乐趣。

编辑：

我已经确认它也不能在 Windows 机器上运行。错误是：“L2TP 连接尝试失败，因为安全层在与远程计算机的初始协商期间遇到了处理错误”

这是我 Mac 上的日志：

Tue Mar  2 21:06:53 2021 : publish_entry SCDSet() failed: Success!
Tue Mar  2 21:06:53 2021 : publish_entry SCDSet() failed: Success!
Tue Mar  2 21:06:53 2021 : l2tp_get_router_address
Tue Mar  2 21:06:53 2021 : l2tp_get_router_address 172.20.10.1 from dict 1
Tue Mar  2 21:06:53 2021 : L2TP connecting to server 'XXXXXXXXXXXX' (XX.XX.XX.XXX)...
Tue Mar  2 21:06:53 2021 : IPSec connection started
Tue Mar  2 21:06:53 2021 : IPSec phase 1 client started
Tue Mar  2 21:06:53 2021 : IPSec phase 1 server replied
Tue Mar  2 21:06:54 2021 : IPSec phase 2 started
Tue Mar  2 21:06:54 2021 : IPSec phase 2 established
Tue Mar  2 21:06:54 2021 : IPSec connection established
Tue Mar  2 21:06:54 2021 : L2TP sent SCCRQ
Tue Mar  2 21:06:54 2021 : L2TP received SCCRP
Tue Mar  2 21:06:54 2021 : L2TP sent SCCCN
Tue Mar  2 21:06:54 2021 : L2TP sent ICRQ
Tue Mar  2 21:06:54 2021 : L2TP received ICRP
Tue Mar  2 21:06:54 2021 : L2TP sent ICCN
Tue Mar  2 21:06:54 2021 : L2TP connection established.
Tue Mar  2 21:06:54 2021 : L2TP set port-mapping for en0, interface: 6, protocol: 0, privatePort: 0
Tue Mar  2 21:06:54 2021 : using link 0
Tue Mar  2 21:06:54 2021 : Using interface ppp0
Tue Mar  2 21:06:54 2021 : Connect: ppp0 <--> socket[34:18]
Tue Mar  2 21:06:54 2021 : sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x312e33e6> <pcomp> <accomp>]
Tue Mar  2 21:06:57 2021 : sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x312e33e6> <pcomp> <accomp>]
Tue Mar  2 21:06:57 2021 : rcvd [LCP ConfReq id=0x0 <mru 1400> <auth eap> <magic 0x7ad21b17> <pcomp> <accomp> <callback CBCP> <mrru 1614> <endpoint 13 17 01 4f 48 20 23 13 c3 46 18 8f aa 74 9e ef 65 fe 3a 00 00 00 00>]
Tue Mar  2 21:06:57 2021 : lcp_reqci: rcvd unknown option 13
Tue Mar  2 21:06:57 2021 : lcp_reqci: returning CONFREJ.
Tue Mar  2 21:06:57 2021 : sent [LCP ConfRej id=0x0 <callback CBCP> <mrru 1614>]
Tue Mar  2 21:06:57 2021 : rcvd [LCP ConfAck id=0x1 <asyncmap 0x0> <magic 0x312e33e6> <pcomp> <accomp>]
Tue Mar  2 21:06:57 2021 : rcvd [LCP ConfReq id=0x1 <mru 1400> <auth eap> <magic 0x7ad21b17> <pcomp> <accomp> <endpoint 13 17 01 4f 48 20 23 13 c3 46 18 8f aa 74 9e ef 65 fe 3a 00 00 00 00>]
Tue Mar  2 21:06:57 2021 : lcp_reqci: returning CONFNAK.
Tue Mar  2 21:06:57 2021 : sent [LCP ConfNak id=0x1 <auth chap MS-v2>]
Tue Mar  2 21:06:57 2021 : rcvd [LCP ConfReq id=0x2 <mru 1400> <auth chap MS-v2> <magic 0x7ad21b17> <pcomp> <accomp> <endpoint 13 17 01 4f 48 20 23 13 c3 46 18 8f aa 74 9e ef 65 fe 3a 00 00 00 00>]
Tue Mar  2 21:06:57 2021 : lcp_reqci: returning CONFACK.
Tue Mar  2 21:06:57 2021 : sent [LCP ConfAck id=0x2 <mru 1400> <auth chap MS-v2> <magic 0x7ad21b17> <pcomp> <accomp> <endpoint 13 17 01 4f 48 20 23 13 c3 46 18 8f aa 74 9e ef 65 fe 3a 00 00 00 00>]
Tue Mar  2 21:06:57 2021 : sent [LCP EchoReq id=0x0 magic=0x312e33e6]
Tue Mar  2 21:06:58 2021 : rcvd [CHAP Challenge id=0x0 <74364045b7347b39c5b1dfc36728e117>, name = "XXX"]
Tue Mar  2 21:06:58 2021 : sent [CHAP Response id=0x0 <734347e818645e3291e5aadb64eba088000000000000000068b867912db9f4098b52051c0e350df91af72a1774b6708700>, name = "XXXXX"]
Tue Mar  2 21:06:58 2021 : rcvd [LCP EchoRep id=0x0 magic=0x7ad21b17]
Tue Mar  2 21:06:58 2021 : rcvd [CHAP Success id=0x0 "S=FB69C2CC6DD794FF835AF55ED91E9DBAB6278C81"]
Tue Mar  2 21:06:58 2021 : sent [IPCP ConfReq id=0x1 <addr 0.0.0.0> <ms-dns1 0.0.0.0> <ms-dns3 0.0.0.0>]
Tue Mar  2 21:06:58 2021 : sent [IPV6CP ConfReq id=0x1 <addr fe80::167d:daff:fece:57fd>]
Tue Mar  2 21:06:58 2021 : sent [ACSCP ConfReq id=0x1 <route vers 16777216> <domain vers 16777216>]
Tue Mar  2 21:06:58 2021 : rcvd [CCP ConfReq id=0x4 <mppe +H -M -S -L -D +C>]
Tue Mar  2 21:06:58 2021 : Unsupported protocol 'Compression Control Protocol' (0x80fd) received
Tue Mar  2 21:06:58 2021 : sent [LCP ProtRej id=0x2 80 fd 01 04 00 0a 12 06 01 00 00 01]
Tue Mar  2 21:06:58 2021 : rcvd [LCP ProtRej id=0x5 80 21 01 01 00 16 03 06 00 00 00 00 81 06 00 00 00 00 83 06 00 00 00 00]
Tue Mar  2 21:06:58 2021 : rcvd [LCP ProtRej id=0x6 80 57 01 01 00 0e 01 0a 16 7d da ff fe ce 57 fd]
Tue Mar  2 21:06:58 2021 : rcvd [LCP ProtRej id=0x7 82 35 01 01 00 10 01 06 00 00 00 01 02 06 00 00 00 01]
Tue Mar  2 21:06:58 2021 : sent [LCP TermReq id=0x3 "No network protocols running"]
Tue Mar  2 21:06:58 2021 : Connection terminated.
Tue Mar  2 21:06:58 2021 : L2TP disconnecting...
Tue Mar  2 21:06:58 2021 : L2TP sent CDN
Tue Mar  2 21:06:58 2021 : L2TP sent StopCCN
Tue Mar  2 21:06:58 2021 : L2TP clearing port-mapping for en0
Tue Mar  2 21:06:58 2021 : L2TP disconnected

这是来自 Windows 服务器的日志：

"XXX","RAS",03/02/2021,21:07:24,4,"XXXXXX",,"XX.XX.XX.XX","XX.XX.XX.XX",,,"XXX","XXXXX",1,,"XX.XX.XX.XX","XXX",1614737244,,5,,1,2,,,0,"311 1 fe80::edb8:9338:cb73:6adf 03/03/2021 01:54:30 4",,,,,1,,,,"5",2,,,,,"7",1,,3,1,"174.247.13.222","XX.XX.XX.XX",,,,,,,"MSRASV5.20",311,,"0x00504545524C455353",4,,"Microsoft Routing and Remote Access Service Policy",1,,,,
"XXX","RAS",03/02/2021,21:07:26,4,"XXXXX",,"XX.XX.XX.XX","XX.XX.XX.XX",,,"XXX","XX.XX.XX.XX",1,,"XX.XX.XX.XX","XX.XX.XX.XX",1614737244,,5,,1,2,,,0,"311 1 fe80::edb8:9338:cb73:6adf 03/03/2021 01:54:30 4",,,,,2,,292,407,"5",2,0,11,13,1,"7",1,,3,1,"174.247.13.222","XX.XX.XX.XX",,,,,,,"MSRASV5.20",311,,"0x00504545524C455353",4,,"Microsoft Routing and Remote Access Service Policy",1,,,,

我完全被这件事难住了。

2 个回答

Voted

MLu · Answer 1 · 2021-03-03T18:25:09+08:00

MLu

2021-03-03T18:25:09+08:002021-03-03T18:25:09+08:00

问题的关键是lcp_reqci: rcvd unknown option 13- 显然它与双方配置的身份验证方法有关。

也许这个答案会有所帮助：L2TP with PEAP authentication from MacOS/iOS

0

Tim Beekley · Answer 2 · 2021-03-06T12:26:13+08:00

这似乎是 AWS EC2 服务器本身的路由问题，我关注了 AWS 论坛上的一篇旧帖子：https ://forums.aws.amazon.com/thread.jspa?messageID=487251 。这个线程上的最后一篇文章是我跟随的，一切都按预期开始工作，我在这里添加了他的帖子，以便在链接失效时可以保存它。对我来说，诀窍是添加静态路由，因为我之前已经完成了大部分帖子，或者它不适用于我的情况。

游戏有点晚了，因为这篇文章已经快 2 岁了；但是，我们刚刚在 Win2012 实例上完成了带 L2TP IPSEC VPN 和 NAT 的 RRAS 配置。希望这对碰巧找到此线程的其他人有所帮助。

此设置非常开放，一旦一切正常，您将希望锁定 ACL 和 SecGroup；但是，这应该可以帮助您：

注意：^ = 右键单击

先决条件：

互联网网关

具有一个或多个子网的 VPC（我们使用 2 个 - 一个专门用于 RRAS，另一个用于 LAN 服务器）。

带有 2 个网络接口的 Windows 2012 实例（我们的 RRAS 服务器）。为每个接口分配静态 IP（我们有连续的 IP，但不确定是否需要）。将 EIP 附加到 Eth0。在每个接口上禁用 SRC/DEST 检查（注意：根据我的经验，在实例上禁用 SRC/DEST 只会影响 Eth0。最好在每个接口上手动执行此操作）。

Windows 2012 实例（我们的 LAN 服务器），带有 1 个网络接口，分配了静态 IP

RRAS 服务器已加入您的域（很确定这是 RRAS 所必需的，但我们的设置肯定需要它，因为 VPN 用户针对 AD 进行身份验证）。您应该已经将 ACL 和 SG 设置配置为允许 RRAS 服务器与您的 DC 通信。

配置 ACL（为了测试，我们将 ACL 应用于 RRAS 和 LAN 子网）入站：端口 3389 (RDP)；通信协议；您的 IP 或 IP 范围（用于管理目的；可以在您的 VPN 启动后删除或修改）入站：全部；全部; 全部; VPC 子网（用于 NAT）入站：端口 500；UDP；0.0.0.0/0；允许（对于 VPN）入站：端口 4500；UDP；0.0.0.0/0；允许（对于 VPN）入站：全部；ESP（50）；0.0.0.0/0；允许（对于 VPN）入站：1701；UDP；0.0.0.0/0；允许（对于 VPN）入站：范围 49152-65535；TCP & UDP；0.0.0.0/0；允许（回复 LAN 流量）出站：全部；全部; 0.0.0.0/0；允许（用于 NAT 和 VPN）

为 RRAS 服务器配置安全组入站：全部；全部; LAN SG ID 入站：TCP；3389 (RDP); 您的 IP 或 IP 范围（也用于管理目的；可以在您的 VPN 启动后删除或修改）入站：- 入站：UDP；500; 0.0.0.0/0 入站：UDP；1701; 0.0.0.0/0 入站：UDP；4500; 0.0.0.0/0 入站：ESP (50)；全部; 0.0.0.0/0 出站：全部；全部; 0.0.0.0/0

为局域网服务器配置安全组 Inbound: All; 全部; RRAS SG ID 入站：TCP；3389 (RDP); 您的 IP 或 IP 范围（也用于管理目的；可以在您的 VPN 启动后删除或修改）出站：全部；全部; 0.0.0.0/0

为 RRAS 服务器配置路由表（我们使用 Main rtb）VPN 子网；当地的; 活跃的 0.0.0.0/0；IGW 标识；积极的

为 LAN 服务器配置路由表（NAT 需要）VPN 子网；当地的; 活跃的 0.0.0.0/0；RRAS Eth1 接口 ID；active 此时，您应该能够从本地计算机对两台服务器进行 RDP，以及从一台服务器到另一台服务器。此外，RRAS 服务器应该能够访问公共站点（例如，Google），而 LAN 服务器不应该。现在让 voo-doo 将它们组合在一起：

在 RRAS 服务器上安装路由和远程访问

服务器管理器 > 添加角色和功能 > 基于角色的远程访问（接受默认值）出现提示时，包括路由角色服务

配置路由和远程访问服务注意：我们在本练习中使用 PSK 和静态地址池；您的最终配置可能会有所不同路由和远程访问 ^ 服务器名称 > 配置和启用路由和远程服务自定义配置 > VPN 访问、NAT

路由和远程访问 ^ 服务器名称 > 属性安全 > 身份验证方法 > 取消选中 EAP（这会导致不必要的麻烦）检查：允许 L2TP/IKEv2 的自定义 IPsec 策略 > 输入 PSK

路由和远程访问 > 服务器名称 > IPv4 选择静态地址池并输入适当的范围 [注意：我们选择使用 RRAS 子网中的 IP，尽管任何私有 IP 范围都可以使用，只要 IP 不会与您的 VPC 中的实例）

路由和远程访问 > 服务器名称 > IPv4 ^ NAT > 新接口 > 以太网（这应该是 Eth0 - 通过 IP 验证）选择：连接到互联网的公共接口检查：在此设备上启用 NAT

路由和远程访问 > 服务器名称 > IPv4 ^ NAT > 新接口 > 以太网 2（这应该是 Eth1 - 通过 IP 验证）选择：连接到专用网络的专用接口好的，负责路由和远程服务；但是，它还不能正常工作。还记得我提到的那个“voo-doo”吗？是时候调整 RRAS 服务器以提交...

Voo-doo 项目 #1（感谢 AWS 支持，仅在我第 5 次支持电话后才提供此信息）

RegEdit > HKLM\SYSTEM\CurrentControlSet\Services\Tcpip ^ 参数 > 新 DWORD：DisableTaskOffload ^ DisableTaskOffload > 修改 > 数值数据：1

Voo-doo 项目 #2（感谢 Comcast 这周搞砸了我的家庭网络并给了我终于让 NAT 工作的 AHA 时刻）路由和远程访问 > 服务器名称 > IPv4 ^ 静态路由 > 新静态路由 > 接口：以太网（即Eth0）；目的地：0.0.0.0；网络掩码：0.0.0.0；网关：RRAS 服务器的默认网关（从 IPCONFIG/ALL 中获取）；指标：1 路由和远程访问 > 服务器名称 > IPv4 ^ 静态路由 > 新静态路由 > 接口：以太网 2（即 Eth1）；目的地：VPC 子网；网络掩码：VPC 子网掩码；网关：RRAS服务器的默认网关；公制：1

最后是客户端机器。在我们的例子中，Win7x64，但也适用于 Win8x64：

创建 VPN 连接网络和共享中心 > 设置新连接或网络 > 连接到工作场所创建新连接

使用我的互联网连接互联网地址：RRAS EIP 目的地名称：勾选：现在不连接；只需进行设置，以便稍后连接（相信我）输入域凭据创建 > 关闭

配置 VPN 连接 ^“AWS L2TP”（或您命名的任何名称）> 属性安全选项卡 VPN 类型：第 2 层数据加密：需要取消选择：CHAP 高级选项卡使用 PSK

Voo-doo Item #3（什么...你以为它结束了？） RegEdit > HKLM\SYSTEM\CurrentControlSet\services\PolicyAgent ^ AssumeUDPEncapsulationContextOnSendRule > Modify > 值数据：2

您现在应该能够 [a] 与您的 RRAS 服务器建立 L2TP VPN 连接并通过私有 IP 和 FQDN 访问您的 LAN 服务器（假设您的 VPC 之前已配置为允许 RRAS 和您的 DC 之间的通信）；建立从您的 LAN 服务器到公共资源的连接。Tracert 应确认流量正在通过 RRAS 服务器。

你有它。简单易懂，VPC...sy？

最后一句话：正如我之前提到的，此时 ACL 和 SG 设置相当宽松。这里的目标不是拥有一个完全安全的网络，而是一个概念证明。我强烈建议您调整 ACL 和 SG 设置以收紧您的 VPC，同时测试您的连接。换句话说，我不负责——你负责。;)

L2TP 问题 AWS EC2

新安装后 postgres 的默认超级用户用户名/密码是什么？

SFTP 使用什么端口？

命令行列出 Windows Active Directory 组中的用户？

什么是 Pem 文件，它与其他 OpenSSL 生成的密钥文件格式有何不同？

如何确定bash变量是否为空？

L2TP 问题 AWS EC2

2 个回答

相关问题