URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 74623
[ Назад ]

Исходное сообщение
"MPD L2TP - поднимал кто-нибудь ?"

Отправлено ll13 , 12-Июн-07 19:44 
Читал что mpd4 поддерживает l2tp, отсюда вопрос поднимал ли кто в mpd тунели l2tp ?
Буду очень благодарен, за ссылочку, по сабжу.

Содержание

Сообщения в этом обсуждении
"MPD L2TP - поднимал кто-нибудь ?"
Отправлено Alexander Motin , 13-Июн-07 15:50 
MPD4.1 поддерживает L2TP как клиент так и сервер. За образец береш любой работающий PPTP конфиг и немного творчески переделываеш пару строк.

MPD4.2 вскоре представит уже более полную поддержку L2TP как в режиме LNS так и впервые на FreeBSD и возможно вообще на xNIX полного LAC с пробросом любых входящих и исходящих соединений на удаленный LNS через L2TP.


"MPD L2TP - поднимал кто-нибудь ?"
Отправлено ll13 , 13-Июн-07 21:02 
>MPD4.1 поддерживает L2TP как клиент так и сервер. За образец береш любой
>работающий PPTP конфиг и немного творчески переделываеш пару строк.
>
>MPD4.2 вскоре представит уже более полную поддержку L2TP как в режиме LNS
>так и впервые на FreeBSD и возможно вообще на xNIX полного
>LAC с пробросом любых входящих и исходящих соединений на удаленный LNS
>через L2TP.

Для организации l2tp с виндовым клиентом нужны сертификаты, заранее извиняюсь но с FreeBSD знаком всего пару недель :) Так вот, насколько я понимаю их надо генерить с помощью OpenSSL, а обмен и проверку осуществляет racoon. Если я не прав, поправьте...
А как всё это дело вяжется с MPD ? То есть, что нужно в MPD подправить, кроме замены pptp на l2tp ?



"MPD L2TP - поднимал кто-нибудь ?"
Отправлено Alexander Motin , 13-Июн-07 22:10 
>Для организации l2tp с виндовым клиентом нужны сертификаты, заранее извиняюсь но с
>FreeBSD знаком всего пару недель :) Так вот, насколько я понимаю
>их надо генерить с помощью OpenSSL, а обмен и проверку осуществляет
>racoon. Если я не прав, поправьте...

Ты прав, за исключением того, что это касается работы L2TP поверх UDP поверх IPSec.

>А как всё это дело вяжется с MPD ?

Как тебе будет угодно. Можно честно бороться с сертификатами и IPSec. У меня это реально получалось, но большого желания возиться с этим впредь нет ибо геморно, а параноей я не страдаю. А можно не заморачиваясь вырубить IPSec в винде исправив один ключик в реестре, как описано в документации MPD и юзать просто L2TP поверх UDP.

>То есть, что нужно в MPD подправить, кроме замены pptp на l2tp ?

Ничего. Разве что вырубить outcall, включение которого вообще как правило есть бред, но винда почему-то так работает по PPTP. Все что касается IPSec происходит на уровне операционки полностью незаметно для MPD.


"MPD L2TP - поднимал кто-нибудь ?"
Отправлено ll13 , 14-Июн-07 00:26 
>Как тебе будет угодно. Можно честно бороться с сертификатами и IPSec. У
>меня это реально получалось, но большого желания возиться с этим впредь
>нет ибо геморно, а параноей я не страдаю.

Большое спасибо за ответ :)
А можно поподробней, как организуется работа l2tp поверх IPSec, какова общая схема работы, какое ПО используюеться. Буду очень благодарен за толковые ссылки по данной теме. У меня есть желание бороться с сертификатами :)

P.S. Большое спасибо за компрессию MPPC, недавно прикрутил - отлично работает :)))


"MPD L2TP - поднимал кто-нибудь ?"
Отправлено Alexander Motin , 14-Июн-07 01:10 
>А можно поподробней, как организуется работа l2tp поверх IPSec, какова общая схема
>работы, какое ПО используюеться.

Настройка состоит из двух независимых частей: настройки L2TP и настройки IPSec.
Настройка L2TP на винде - детский сад, на MPD - тоже легко.
Настройка IPSec сложнее. На винде нужно пошаманить с MMC плугином IPSec для настройки параметров тунеля и ключей. Софта дополнительного вроде не надо. Документации в инете много - найдеш без проблем. На FreeBSD вкомпилил поддержку ipsec в ядро, прописал в ipsec.conf параметры тунеля и поставил какого-то демона обмена ключами. Пробовал racoon и ipsec-tools, как именно заработало уже не помню. Для обмена ключами, дабы не возиться с openssl, я использовал не сертификаты, а шареный секрет.

>Буду очень благодарен за толковые ссылки по
>данной теме. У меня есть желание бороться с сертификатами :)

Ссылок по L2TP/IPSec в винде довольно много. В общем по IPSec под FreeBSD тоже попадаются. Описания полного готового решения не встречал, так как раньше его как такового реально не существовало. Если попадется или родится что-то толковое на аглицком - поделись для документации.


"MPD L2TP - поднимал кто-нибудь ?"
Отправлено ll13 , 14-Июн-07 11:37 
>Настройка IPSec сложнее. На винде нужно пошаманить с MMC плугином IPSec для
>настройки параметров тунеля и ключей. Софта дополнительного вроде не надо. Документации
>в инете много - найдеш без проблем.

>Ссылок по L2TP/IPSec в винде довольно много. В общем по IPSec под
>FreeBSD тоже попадаются. Описания полного готового решения не встречал, так как
>раньше его как такового реально не существовало. Если попадется или родится
>что-то толковое на аглицком - поделись для документации.

Проблема в том что вся документация, рассказывает о установлении IPSec-соединения между FreeBSD и Win типа site-to-site, а мне то нужно клиент-сервер (WinXP - должен выступать в роли клиента) По поводу настройки WinXP-клиента - с сертификатами понятно.
У меня сейчас в качестве ВПН-сервера работает Win2003+Isa2004, так вот единственное что настраивается на стороне клиента для L2tp/IPsec подключения - это сертификат, и всё !
Так вот хочу заменить Win2003 на FreeBSD :)) и пытаюсь понять можно ли (и как) такое организовать на FreeBSD ?
P.S. Начальство у меня параноики :( и хотят чтоб был l2tp/ipsec с обменом сертификатами...


"MPD L2TP - поднимал кто-нибудь ?"
Отправлено ll13 , 14-Июн-07 21:42 
Поднял racoon, нагенерил сертификатов.
Основной вопрос - что прописывать в ipsec.conf ? Ведь адрес клиента неизвестен ....

"MPD L2TP - поднимал кто-нибудь ?"
Отправлено igor , 04-Авг-07 19:35 
>Поднял racoon, нагенерил сертификатов.
>Основной вопрос - что прописывать в ipsec.conf ? Ведь адрес клиента неизвестен
>....

в racoon.conf

generate_policy on;

в секцию remote anonymous.


"MPD L2TP - поднимал кто-нибудь ?"
Отправлено pavel_simple , 14-Июн-07 11:42 
должно помочь
http://www.netbsd.org/docs/network/ipsec/rasvpn.html

"MPD L2TP - поднимал кто-нибудь ?"
Отправлено igor , 04-Авг-07 19:40 
>должно помочь
>http://www.netbsd.org/docs/network/ipsec/rasvpn.html

можно ли настроить windows-клиента, чтобы авторизовался по имени и паролю, но при этом использовал шифрованный канал ipsec


т.е. вариант(как ssh при авторизации по паролю):

authentication_method hybrid_rsa_server;


у меня при этом пишет, что
rejected authmethod: DB(prop#1:trns#1):Peer(prop#1:trns#4) = Hybrid RSA server:RSA signatures

а если попровить ключик в реестре - тогда устанавливает соединение без шифрования.

проблема такая - максимально снизить нагрузку по настройке для клиентов.
допустим вариант
1)запуск .reg файлов (сейчас так и сделано. работает без шифрования)
2)установка сертификатов
3)ввод имени/пароля.


"MPD L2TP - поднимал кто-нибудь ?"
Отправлено malor , 16-Авг-07 15:00 
Челы .. где можно качнуть mpd 4.2 в виде tbz (либо tar.gz)?

FreeBSD 6.2


"MPD L2TP - поднимал кто-нибудь ?"
Отправлено Alexander Motin , 16-Авг-07 15:19 
>Челы .. где можно качнуть mpd 4.2 в виде tbz (либо tar.gz)?

Исходники тут:
https://sourceforge.net/project/showfiles.php?group_id=14145

А вообще порты тебе помогут. Пакаджа вероятно не существует, так как 4.2.2 требует наличия ng_car, а он на шестерке только из портов ставится. Следующая версия mpd будет собираться и без него.