Доброго всем!
Поставлена задача пускать в локальную сетку удаленных клиентов, используя встроенный VPN клиент Windows XP.
Элементарно поставить сервер PPTP, но как я понял, там уровень защиты близок к нулю. И хорош он только удобстом устоновки.
А тема IPSec/L2TP не раскрыта в сети.
Racoon заработал. ShrewSoft VPN Client например тунель устанавливает, адрес получает и дальше все ок. Но добиться взаимности от виндового клиента не получилось.
В логе racoon:
2008-03-11 00:02:39: DEBUG: 104 bytes from x.x.x.x[500] to y.y.y.y[500]
2008-03-11 00:02:39: DEBUG: sockname x.x.x.x[500]
2008-03-11 00:02:39: DEBUG: send packet from x.x.x.x[500]
2008-03-11 00:02:39: DEBUG: send packet to y.y.y.y[500]
2008-03-11 00:02:39: DEBUG: 1 times of 104 bytes message will be sent to y.y.y.y[500]
2008-03-11 00:02:39: DEBUG:
40509934 db8b10ba 25d0b543 44a6240b 01100200 00000000 00000068 0d000038
00000001 00000001 0000002c 01010001 00000024 04010000 80010001 80020002
80040001 80030001 800b0001 000c0004 00007080 00000014 afcad713 68a1f1c9
6b8696fc 77570100
2008-03-11 00:02:39: DEBUG: resend phase1 packet 40509934db8b10ba:25d0b54344a6240b
много раз по кругу, потом клиент отрубается по таймауту.

L2TPD загружен, но до него соединение не доходит. И это все с реального IP который заранее прописан в psk.txt. С Roadwarrior'ом за NAT'ом все еще непонятнее. Racoon в psk.txt не понимает никаких wildcart типа * , 0.0.0.0/0 и т.д. Видимо специально в целях безопасности.
Собственно если эту проблему удастся решить, то можно раздать клиентам ShrewSoft VPN Client и махнуть рукой на L2TP. А задача - обойтись средствами винды.
Раздача сертификатов клиентам возможна но не желательна.
Удалось ли кому-нибудь решить эту задачу в полной мере?
Видел описания решений openswan/xl2tpd и подобного, но это все Linux.
Спасибо!

• Сервер VPN IPSec/L2TP на FreeBSD для клиента Windows.,PavelR, 07:48 , 11-Мрт-08
  • Сервер VPN IPSec/L2TP на FreeBSD для клиента Windows.,Rassadin, 11:34 , 11-Мрт-08
    • Сервер VPN IPSec/L2TP на FreeBSD для клиента Windows.,PavelR, 15:32 , 11-Мрт-08
      • Сервер VPN IPSec/L2TP на FreeBSD для клиента Windows.,name, 21:53 , 04-Окт-08

>Доброго всем!
>Поставлена задача пускать в локальную сетку удаленных клиентов, используя встроенный VPN клиент
>Windows XP.
>Элементарно поставить сервер PPTP, но как я понял, там уровень защиты близок
>к нулю. И хорош он только удобстом устоновки.
>А тема IPSec/L2TP не раскрыта в сети.

тема не раскрыта, похоже на правду. А вот про уровень защиты - не понятно, шифрование траффика есть, авторизация по паролю, хешем - что еще нужно ?

>
>тема не раскрыта, похоже на правду. А вот про уровень защиты -
>не понятно, шифрование траффика есть, авторизация по паролю, хешем - что
>еще нужно ?

Я повелся на эту статью:
http://schneier.com/pptp-faq.html
Если ее кто-нибудь убедительно опровергнет, то жизнь сразу упростится :)

>>
>>тема не раскрыта, похоже на правду. А вот про уровень защиты -
>>не понятно, шифрование траффика есть, авторизация по паролю, хешем - что
>>еще нужно ?
>
>Я повелся на эту статью:
>http://schneier.com/pptp-faq.html
>Если ее кто-нибудь убедительно опровергнет, то жизнь сразу упростится :)

ну будем верить в компетентность чуваков и свежесть статьи..

Лично мне не нравится майкрософтовский пптп тем, что он вносит большие задержки, что оказалось критичным для меня - для ВоИП. Пользую ОпенВПН. Не нравится тем, что нельзя гибко выделять реальные айпи, только /30 сетями  что есть ну очень жестко в плане числа айпи.

>[оверквотинг удален]
>>Я повелся на эту статью:
>>http://schneier.com/pptp-faq.html
>>Если ее кто-нибудь убедительно опровергнет, то жизнь сразу упростится :)
>
>ну будем верить в компетентность чуваков и свежесть статьи..
>
>Лично мне не нравится майкрософтовский пптп тем, что он вносит большие задержки,
>что оказалось критичным для меня - для ВоИП. Пользую ОпенВПН. Не
>нравится тем, что нельзя гибко выделять реальные айпи, только /30 сетями
> что есть ну очень жестко в плане числа айпи.

фига се! это Брюс Шнайер не компетентен??!