<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
span.EmailStyle18
        {mso-style-type:personal-reply;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        mso-fareast-language:EN-US;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-AU" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Hi Brian,<o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US">It is not clear from that short log snippet which ipsec command is causing an issue with
</span><span style="font-size:10.0pt;font-family:Consolas;mso-fareast-language:EN-US">whack</span><span style="mso-fareast-language:EN-US">.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Can you confirm you are able to start or restart the pluto ipsec daemon on gentoo with :<o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US">   </span><span style="font-size:10.0pt;font-family:Consolas;mso-fareast-language:EN-US">sudo ipsec start<o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US">or <o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US">  </span><span style="font-size:10.0pt;font-family:Consolas;mso-fareast-language:EN-US">sudo ipsec restart<o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US">then confirm it is running with :<o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US">  </span><span style="font-size:10.0pt;font-family:Consolas;mso-fareast-language:EN-US">sudo ipsec status<o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US">if status thinks it is running, you can try bringing up the NetworkManager-l2tp IPsec connection with :<o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:Consolas;mso-fareast-language:EN-US">  sudo ipsec auto \<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:Consolas;mso-fareast-language:EN-US">  --config /run/nm-l2tp-9a088450-2a7b-4012-befe-facf564c77e0/ipsec.conf –verbose \<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:Consolas;mso-fareast-language:EN-US">  -add 9a088450-2a7b-4012-befe-facf564c77e0<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:Consolas;mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:Consolas;mso-fareast-language:EN-US">  sudo ipsec auto up -add 9a088450-2a7b-4012-befe-facf564c77e0<o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US">(note it is okay to copy and paste the backslash line continuation in the above)<o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US">If you don’t have /run/nm-l2tp-9a088450-2a7b-4012-befe-facf564c77e0/ , issue the following:<o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0cm">  sudo killall -TERM nm-l2tp-service<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0cm">  sudo /usr/libexec/nm-l2tp-service --debug</span><span style="font-size:10.0pt;font-family:Consolas;color:#24292E"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US">then try to establish the connection in the GUI. I’m just guessing
</span><span style="font-size:10.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0cm">nm-l2tp-service</span><span style="mso-fareast-language:EN-US"> is located in
</span><span style="font-size:10.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0cm">/usr/libexec/</span><span style="mso-fareast-language:EN-US"> on gentoo.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Cheers,<br>
Doug<o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><b><span lang="EN-US">From:</span></b><span lang="EN-US"> Brian McKee <raydude@gmail.com>
<br>
<b>Sent:</b> Saturday, 24 October 2020 1:26 PM<br>
<b>To:</b> Paul Wouters <paul@nohats.ca><br>
<b>Cc:</b> Douglas Kosovic <doug@uq.edu.au>; swan@lists.libreswan.org<br>
<b>Subject:</b> Re: [Swan] Issue with networkmanager and l2tp<o:p></o:p></span></p>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<div>
<p class="MsoNormal">Hi Paul and Doug,<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<p class="MsoNormal">So I got libreswan 4.1 to install with the new folder by modifying the ebuild, but I'm still having problems. Here is the output of networkmanager:<o:p></o:p></p>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span style="font-family:"Courier New";color:black">Oct 23 20:19:40 threads NetworkManager[4579]: <info>  [1603509580.7688] audit: op="statistics" arg="refresh-rate-ms" pid=5647 uid=1000 result="success"
</span><span style="font-family:"Courier New""><br>
Oct 23 20:19:42 threads NetworkManager[4579]: <info>  [1603509582.5025] audit: op="connection-activate" uuid="9a088450-2a7b-4012-befe-facf564c77e0" name="wtec-SJ" pid=5647 uid=1000 result<br>
="success" <br>
Oct 23 20:19:42 threads NetworkManager[4579]: <info>  [1603509582.5068] vpn-connection[0x56488972c0a0,9a088450-2a7b-4012-befe-facf564c77e0,"wtec-SJ",0]: Started the VPN service, PID 28727
<br>
Oct 23 20:19:42 threads NetworkManager[4579]: <info>  [1603509582.5115] vpn-connection[0x56488972c0a0,9a088450-2a7b-4012-befe-facf564c77e0,"wtec-SJ",0]: Saw the service appear; activating<br>
connection <br>
Oct 23 20:19:43 threads NetworkManager[4579]: <info>  [1603509583.2001] audit: op="statistics" arg="refresh-rate-ms" pid=5647 uid=1000 result="success"
<br>
Oct 23 20:19:51 threads pluto[17294]: ignoring message from whack with bad magic 1869114160; should be 1869114159; Mismatched versions of userland tools.
<br>
Oct 23 20:19:51 threads /etc/init.d/NetworkManager[28748]: rc-service: No such file or directory
<br>
Oct 23 20:19:51 threads NetworkManager[4579]: <warn>  [1603509591.5840] vpn-connection[0x56488972c0a0,9a088450-2a7b-4012-befe-facf564c77e0,"wtec-SJ",0]: VPN connection: failed to connect:<br>
'Could not restart the ipsec service.' <br>
Oct 23 20:19:51 threads NetworkManager[4579]: <info>  [1603509591.5851] vpn-connection[0x56488972c0a0,9a088450-2a7b-4012-befe-facf564c77e0,"wtec-SJ",0]: VPN plugin: state changed: stopped<br>
(6) <br>
Oct 23 20:19:51 threads NetworkManager[4579]: <info>  [1603509591.5875] vpn-connection[0x56488972c0a0,9a088450-2a7b-4012-befe-facf564c77e0,"wtec-SJ",0]: VPN service disappeared</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><span style="font-family:"Courier New"">I'm guessing I'm having ipsec issues...</span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal"><span style="font-family:"Courier New"">Can you give me a shove in the right direction?</span><o:p></o:p></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<div>
<p class="MsoNormal">On Fri, Oct 23, 2020 at 10:47 AM Paul Wouters <<a href="mailto:paul@nohats.ca">paul@nohats.ca</a>> wrote:<o:p></o:p></p>
</div>
<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm">
<p class="MsoNormal" style="margin-left:11.55pt">On Fri, 23 Oct 2020, Brian McKee wrote:<br>
<br>
> Thanks Doug!I'll open a ticket with the gentoo devs!<br>
<br>
They can compile with FINALNSSDIR=/etc/ipsec.d to keep the nss files at the same<br>
location if they prefer that.<br>
<br>
Note that libreswan-4.x also no longer builds support for DH2, and some<br>
NM-libreswan plugins tried to use dh2+dh5 for IKEv1. So you might also<br>
be running into that. That required a fix to NM-libreswan in fedora at<br>
least.<br>
<br>
Paul<br>
<br>
> On Fri, Oct 23, 2020 at 5:04 AM Douglas Kosovic <<a href="mailto:doug@uq.edu.au" target="_blank">doug@uq.edu.au</a>> wrote:<br>
><br>
>       Hi Brian,<br>
><br>
>        <br>
><br>
>       With Libreswan >= 4.0, the default NSS database files (*.db) have moved from /etc/ipsec.d to<br>
>       /var/lib/ipsec/nss<br>
><br>
>        <br>
><br>
>       Try the following Libreswan command to see if you get an error :<br>
><br>
>        <br>
><br>
>           $ sudo ipsec initnss<br>
><br>
>          ERROR: destination directory "/var/lib/ipsec/nss" is missing or permission denied<br>
><br>
>        <br>
><br>
>       pkg_postinst() in the gentoo ebuild is still using /etc/ipsec.d for the NSS database files :<br>
><br>
>          <a href="https://gitweb.gentoo.org/repo/gentoo.git/tree/net-vpn/libreswan/libreswan-4.1.ebuild" target="_blank">
https://gitweb.gentoo.org/repo/gentoo.git/tree/net-vpn/libreswan/libreswan-4.1.ebuild</a><br>
><br>
>        <br>
><br>
>        <br>
><br>
>       you could fix the aforementioned pkg_postinst(), or issue the following as a workaround:<br>
><br>
>        <br>
><br>
>           sudo mkdir -p /var/lib/ipsec/nss<br>
><br>
>           sudo chmod 700 /var/lib/ipsec/nss<br>
><br>
>        <br>
><br>
>       then try sudo ipsec initnss again.<br>
><br>
>        <br>
><br>
>       If you are using SELinux or AppArmor, a new rule might be required for /var/lib/ipsec/nss<br>
><br>
>        <br>
><br>
>        <br>
><br>
>       Cheers,<br>
><br>
>       Doug<br>
><br>
>        <br>
><br>
>       From: Swan <<a href="mailto:swan-bounces@lists.libreswan.org" target="_blank">swan-bounces@lists.libreswan.org</a>> On Behalf Of Brian McKee<br>
>       Sent: Friday, 23 October 2020 6:06 PM<br>
>       To: <a href="mailto:swan@lists.libreswan.org" target="_blank">swan@lists.libreswan.org</a><br>
>       Subject: [Swan] Issue with networkmanager and l2tp<br>
><br>
>        <br>
><br>
>       Hello everyone,<br>
><br>
>        <br>
> <br>
> I'm a Gentoo linux user. My work uses a linux based VPN server (Centos 7) that is probably pretty out of date.<br>
> It uses l2tp protocol.<br>
> <br>
>  <br>
> <br>
> My Gentoo box is running Networkmanager 1.26.0 and until a recent update I was running libreswan-3.32-r1 which<br>
> contains a patch to fix an NSS version issue. libreswan-3.32 without the patch fails to connect to my work<br>
> because of the NSS issue.<br>
> <br>
>  <br>
> <br>
> Networkmanager requires libreswan for l2tp protocol connections.<br>
> <br>
>  <br>
> <br>
> In the latest update of my machine libreswan 4.1 installed and I could no longer connect to work. There was<br>
> absolutely no useful messages from Networkmanager. This is what I got in /var/log/messages:<br>
> <br>
>  <br>
> <br>
> Oct 22 21:30:16 threads NetworkManager[4579]: <info>  [1603427416.4884] audit: op="connection-activate"<br>
> uuid="9a088450-2a7b-4012-befe-facf564c77e0" name="wtec-SJ" pid=5647 uid=1000 result<br>
> ="success"<br>
> Oct 22 21:30:16 threads NetworkManager[4579]: <info>  [1603427416.4920]<br>
> vpn-connection[0x56488972c2b0,9a088450-2a7b-4012-befe-facf564c77e0,"wtec-SJ",0]: Started the VPN service, PID<br>
> 10712<br>
> Oct 22 21:30:16 threads NetworkManager[4579]: <info>  [1603427416.4984]<br>
> vpn-connection[0x56488972c2b0,9a088450-2a7b-4012-befe-facf564c77e0,"wtec-SJ",0]: Saw the service appear;<br>
> activating<br>
> connection<br>
> Oct 22 21:30:17 threads NetworkManager[4579]: <info>  [1603427417.1234] audit: op="statistics"<br>
> arg="refresh-rate-ms" pid=5647 uid=1000 result="success"<br>
> Oct 22 21:30:27 threads NetworkManager[4579]: <info>  [1603427427.7335]<br>
> vpn-connection[0x56488972c2b0,9a088450-2a7b-4012-befe-facf564c77e0,"wtec-SJ",0]: VPN plugin: state changed:<br>
> stopped<br>
> (6)<br>
> Oct 22 21:30:27 threads NetworkManager[4579]: <info>  [1603427427.7361]<br>
> vpn-connection[0x56488972c2b0,9a088450-2a7b-4012-befe-facf564c77e0,"wtec-SJ",0]: VPN service disappeared<br>
> Oct 22 21:30:27 threads NetworkManager[4579]: <warn>  [1603427427.7372]<br>
> vpn-connection[0x56488972c2b0,9a088450-2a7b-4012-befe-facf564c77e0,"wtec-SJ",0]: VPN connection: failed to<br>
> connect:<br>
> 'Message recipient disconnected from message bus without replying'<br>
> <br>
> I figure I have a configuration issue, except that it works fine with the old version of libreswan.<br>
> <br>
>  <br>
> <br>
> I'm hoping you guys have some idea what I'm talking about. I can email you any information on my machine and I<br>
> can probably get the configuration for the (openvpn, I think) VPN server.<br>
> <br>
>  <br>
> <br>
> I know that me using the old version of libreswan is eventually going to become a problem so I'd like to<br>
> proactively figure out what's wrong and fix my system so my work flow isn't interrupted.<br>
> <br>
>  <br>
> <br>
> I don't hand edit the config files, I let KDE configure network manager, so I figure there is something I need<br>
> to change in that configuration.<br>
> <br>
>  <br>
> <br>
> Anyway, thanks for reading and thanks in advance for any help you can offer.<br>
> <br>
> _______________________________________________<o:p></o:p></p>
</blockquote>
</div>
</div>
</body>
</html>