VS>> Hе получается к этой штуке подключиться, что бы там ни было, в VS>> конфиг ей не заглянешь. Как найти общее множество алгоритмов? В VS>> wireshark на этой стадии уже ничего не видно, т.е. "Encrypted VS>> data" Как я понимаю, доходит до фазы 2 и не дальше, точнее дальше VS>> NO-PROPOSAL-CHOSEN и INVALID-HASH-INFORMATION
EG> Во-первых, в моём примере не зря уровень дебага был установлен в EG> debug2 (что даже больше подробностей даёт, чем debug). Типа намёк. Там EG> будут виден список алгоритмов, которые присылает в IKE та сторона.
Я запускал "racoon -Fdd", полагаю что это то же самое. Список алгоритмов там как-то невнятно виден, ну да ладно. Причина оказывается не в наборах криптографических алгоритмов. Я убрал "pfs_group 2" из sainfo, и IPSec поднялся, сформировались две SA, в ту и в обратную сторону.
Правда mpd5 через них не пашет, не дожидается ответа (expecting reply; none received), и в tcpdump вижу только исходящие от меня ESP пакеты, но не входящие. Где-то видимо режется. В pf разрешены ESP. Завтра буду разбираться. Или подниму transport mode с каким-нибудь ещё хостом вместо этого злосчастного VPN-gateway, проверю методом исключения, так сказать.
А ответы от L2TP сервера точно нужно ждать с 1701 порта? Вот тут: https://termbin.com/24pec не видится навскидку что-то неправильное?
И что за прикол с "pfs_group 2" и почему оно даёт такой негативный эффект?