Читал что mpd4 поддерживает l2tp, отсюда вопрос поднимал ли кто в mpd тунели l2tp ?
Буду очень благодарен, за ссылочку, по сабжу.
MPD4.1 поддерживает L2TP как клиент так и сервер. За образец береш любой работающий PPTP конфиг и немного творчески переделываеш пару строк.MPD4.2 вскоре представит уже более полную поддержку L2TP как в режиме LNS так и впервые на FreeBSD и возможно вообще на xNIX полного LAC с пробросом любых входящих и исходящих соединений на удаленный LNS через L2TP.
>MPD4.1 поддерживает L2TP как клиент так и сервер. За образец береш любой
>работающий PPTP конфиг и немного творчески переделываеш пару строк.
>
>MPD4.2 вскоре представит уже более полную поддержку L2TP как в режиме LNS
>так и впервые на FreeBSD и возможно вообще на xNIX полного
>LAC с пробросом любых входящих и исходящих соединений на удаленный LNS
>через L2TP.Для организации l2tp с виндовым клиентом нужны сертификаты, заранее извиняюсь но с FreeBSD знаком всего пару недель :) Так вот, насколько я понимаю их надо генерить с помощью OpenSSL, а обмен и проверку осуществляет racoon. Если я не прав, поправьте...
А как всё это дело вяжется с MPD ? То есть, что нужно в MPD подправить, кроме замены pptp на l2tp ?
>Для организации l2tp с виндовым клиентом нужны сертификаты, заранее извиняюсь но с
>FreeBSD знаком всего пару недель :) Так вот, насколько я понимаю
>их надо генерить с помощью OpenSSL, а обмен и проверку осуществляет
>racoon. Если я не прав, поправьте...Ты прав, за исключением того, что это касается работы L2TP поверх UDP поверх IPSec.
>А как всё это дело вяжется с MPD ?
Как тебе будет угодно. Можно честно бороться с сертификатами и IPSec. У меня это реально получалось, но большого желания возиться с этим впредь нет ибо геморно, а параноей я не страдаю. А можно не заморачиваясь вырубить IPSec в винде исправив один ключик в реестре, как описано в документации MPD и юзать просто L2TP поверх UDP.
>То есть, что нужно в MPD подправить, кроме замены pptp на l2tp ?
Ничего. Разве что вырубить outcall, включение которого вообще как правило есть бред, но винда почему-то так работает по PPTP. Все что касается IPSec происходит на уровне операционки полностью незаметно для MPD.
>Как тебе будет угодно. Можно честно бороться с сертификатами и IPSec. У
>меня это реально получалось, но большого желания возиться с этим впредь
>нет ибо геморно, а параноей я не страдаю.Большое спасибо за ответ :)
А можно поподробней, как организуется работа l2tp поверх IPSec, какова общая схема работы, какое ПО используюеться. Буду очень благодарен за толковые ссылки по данной теме. У меня есть желание бороться с сертификатами :)P.S. Большое спасибо за компрессию MPPC, недавно прикрутил - отлично работает :)))
>А можно поподробней, как организуется работа l2tp поверх IPSec, какова общая схема
>работы, какое ПО используюеться.Настройка состоит из двух независимых частей: настройки L2TP и настройки IPSec.
Настройка L2TP на винде - детский сад, на MPD - тоже легко.
Настройка IPSec сложнее. На винде нужно пошаманить с MMC плугином IPSec для настройки параметров тунеля и ключей. Софта дополнительного вроде не надо. Документации в инете много - найдеш без проблем. На FreeBSD вкомпилил поддержку ipsec в ядро, прописал в ipsec.conf параметры тунеля и поставил какого-то демона обмена ключами. Пробовал racoon и ipsec-tools, как именно заработало уже не помню. Для обмена ключами, дабы не возиться с openssl, я использовал не сертификаты, а шареный секрет.>Буду очень благодарен за толковые ссылки по
>данной теме. У меня есть желание бороться с сертификатами :)Ссылок по L2TP/IPSec в винде довольно много. В общем по IPSec под FreeBSD тоже попадаются. Описания полного готового решения не встречал, так как раньше его как такового реально не существовало. Если попадется или родится что-то толковое на аглицком - поделись для документации.
>Настройка IPSec сложнее. На винде нужно пошаманить с MMC плугином IPSec для
>настройки параметров тунеля и ключей. Софта дополнительного вроде не надо. Документации
>в инете много - найдеш без проблем.>Ссылок по L2TP/IPSec в винде довольно много. В общем по IPSec под
>FreeBSD тоже попадаются. Описания полного готового решения не встречал, так как
>раньше его как такового реально не существовало. Если попадется или родится
>что-то толковое на аглицком - поделись для документации.Проблема в том что вся документация, рассказывает о установлении IPSec-соединения между FreeBSD и Win типа site-to-site, а мне то нужно клиент-сервер (WinXP - должен выступать в роли клиента) По поводу настройки WinXP-клиента - с сертификатами понятно.
У меня сейчас в качестве ВПН-сервера работает Win2003+Isa2004, так вот единственное что настраивается на стороне клиента для L2tp/IPsec подключения - это сертификат, и всё !
Так вот хочу заменить Win2003 на FreeBSD :)) и пытаюсь понять можно ли (и как) такое организовать на FreeBSD ?
P.S. Начальство у меня параноики :( и хотят чтоб был l2tp/ipsec с обменом сертификатами...
Поднял racoon, нагенерил сертификатов.
Основной вопрос - что прописывать в ipsec.conf ? Ведь адрес клиента неизвестен ....
>Поднял racoon, нагенерил сертификатов.
>Основной вопрос - что прописывать в ipsec.conf ? Ведь адрес клиента неизвестен
>....в racoon.conf
generate_policy on;
в секцию remote anonymous.
должно помочь
http://www.netbsd.org/docs/network/ipsec/rasvpn.html
>должно помочь
>http://www.netbsd.org/docs/network/ipsec/rasvpn.htmlможно ли настроить windows-клиента, чтобы авторизовался по имени и паролю, но при этом использовал шифрованный канал ipsec
т.е. вариант(как ssh при авторизации по паролю):authentication_method hybrid_rsa_server;
у меня при этом пишет, что
rejected authmethod: DB(prop#1:trns#1):Peer(prop#1:trns#4) = Hybrid RSA server:RSA signaturesа если попровить ключик в реестре - тогда устанавливает соединение без шифрования.
проблема такая - максимально снизить нагрузку по настройке для клиентов.
допустим вариант
1)запуск .reg файлов (сейчас так и сделано. работает без шифрования)
2)установка сертификатов
3)ввод имени/пароля.
Челы .. где можно качнуть mpd 4.2 в виде tbz (либо tar.gz)?FreeBSD 6.2
>Челы .. где можно качнуть mpd 4.2 в виде tbz (либо tar.gz)?Исходники тут:
https://sourceforge.net/project/showfiles.php?group_id=14145А вообще порты тебе помогут. Пакаджа вероятно не существует, так как 4.2.2 требует наличия ng_car, а он на шестерке только из портов ставится. Следующая версия mpd будет собираться и без него.