URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 82956
[ Назад ]

Исходное сообщение
"l2tp over ipsec"

Отправлено doker , 19-Ноя-08 15:27 
цель - повторить виндавозное VPN подключение к L2TP серверу (циске) с использованием IPSec PSK на FreeBSD.
насколько я понял (поправте пжл если я ошибся) небходимо сначала настроить шифрованный тунель с помощью ipsec-tools с ключём (PSK), а потом поднимать l2tp сессию. кто силён в этом, подскажите детали пжл и если есть кинте ссылкой на общий мануал

Содержание

Сообщения в этом обсуждении
"l2tp over ipsec"
Отправлено Deac , 19-Ноя-08 15:37 
>цель - повторить виндавозное VPN подключение к L2TP серверу (циске) с использованием
>IPSec PSK на FreeBSD.
>насколько я понял (поправте пжл если я ошибся) небходимо сначала настроить шифрованный
>тунель с помощью ipsec-tools с ключём (PSK), а потом поднимать l2tp
>сессию. кто силён в этом, подскажите детали пжл и если есть
>кинте ссылкой на общий мануал

Теоретически возможно и l2tp over ipsec и наоборот, а просто l2tp или ipsec не достаточно?


"l2tp over ipsec"
Отправлено doker , 19-Ноя-08 15:44 
>
>Теоретически возможно и l2tp over ipsec и наоборот, а просто l2tp или
>ipsec не достаточно?

там требуеться pre_shared_key и ms chap  авторизация

я до конца механизм непонимаю, поэтому судить о комбинациях немогу (


"l2tp over ipsec"
Отправлено Deac , 19-Ноя-08 16:08 
>>
>>Теоретически возможно и l2tp over ipsec и наоборот, а просто l2tp или
>>ipsec не достаточно?
>
>там требуеться pre_shared_key и ms chap  авторизация
>
>я до конца механизм непонимаю, поэтому судить о комбинациях немогу (

Cisco ipsec принимает снаружи или l2tp?
Если первое, то man ipsec, man gif, ну и поиск по форуму, дальше mpd в плане l2tp client.
Если второе, то сначала mpd, потом gif.


"l2tp over ipsec"
Отправлено doker , 19-Ноя-08 16:16 

>Cisco ipsec принимает снаружи или l2tp?
>Если первое, то man ipsec, man gif, ну и поиск по форуму,
>дальше mpd в плане l2tp client.
>Если второе, то сначала mpd, потом gif.

по идее,по l2tp ,
тоесть mpd настаивать как l2tp клиент с чап авторизацией, а как там прешаред кей фигурирует ? (интуитивно понимаю что поднимаеться шифрованный gif интерфейс)


"l2tp over ipsec"
Отправлено Deac , 19-Ноя-08 16:23 
>
>>Cisco ipsec принимает снаружи или l2tp?
>>Если первое, то man ipsec, man gif, ну и поиск по форуму,
>>дальше mpd в плане l2tp client.
>>Если второе, то сначала mpd, потом gif.
>
>по идее,по l2tp ,
>тоесть mpd настаивать как l2tp клиент с чап авторизацией, а как там
>прешаред кей фигурирует ? (интуитивно понимаю что поднимаеться шифрованный gif интерфейс)
>

тогда просто mpd, сходи сюда http://sourceforge.net/forum/?group_id=14145
почитай, потом спрашивай.


"l2tp over ipsec"
Отправлено doker , 19-Ноя-08 16:41 

>
>тогда просто mpd, сходи сюда http://sourceforge.net/forum/?group_id=14145
>почитай, потом спрашивай.

mpd нужен для авторизации на l2tp сервере и поднятии интерфейса, а как быть с PSK ?


"l2tp over ipsec"
Отправлено Deac , 19-Ноя-08 16:53 
>
>>
>>тогда просто mpd, сходи сюда http://sourceforge.net/forum/?group_id=14145
>>почитай, потом спрашивай.
>
>mpd нужен для авторизации на l2tp сервере и поднятии интерфейса, а как
>быть с PSK ?

Итак, cisco принимает l2tp с psk или сначала l2tp, потом ipsec с psk?
Если первое то задаём вопрос в вышеуказанном форуме.
Если второе то поднятие/опускание gif помещаем в up/down скрипт, mpd так умеет.


"l2tp over ipsec"
Отправлено doker , 19-Ноя-08 17:12 

>Итак, cisco принимает l2tp с psk или сначала l2tp, потом ipsec с
>psk?
>Если первое то задаём вопрос в вышеуказанном форуме.
>Если второе то поднятие/опускание gif помещаем в up/down скрипт, mpd так умеет.
>

циска-чёрный ящик, как в винде реализованно хз, там всё указанно в одном содинении


"l2tp over ipsec"
Отправлено Deac , 19-Ноя-08 20:27 
>
>>Итак, cisco принимает l2tp с psk или сначала l2tp, потом ipsec с
>>psk?
>>Если первое то задаём вопрос в вышеуказанном форуме.
>>Если второе то поднятие/опускание gif помещаем в up/down скрипт, mpd так умеет.
>>
>
>циска-чёрный ящик, как в винде реализованно хз, там всё указанно в одном
>содинении

Тогда скорей всего первый случай, пробовать надо и так и так!

З.Ы. "Чёрным ящиком" кто-то рулит, обязательно!


"l2tp over ipsec"
Отправлено doker , 20-Ноя-08 09:42 
рулевой был давно и счас его уже нет, в перспективе я до него доберусь но это будет нескоро
>
>Тогда скорей всего первый случай, пробовать надо и так и так!
>
>З.Ы. "Чёрным ящиком" кто-то рулит, обязательно!

"l2tp over ipsec"
Отправлено anonymous , 19-Ноя-08 20:32 
>цель - повторить виндавозное VPN подключение к L2TP серверу (циске) с использованием
>IPSec PSK на FreeBSD.

танцевать отсюда - http://www.jacco2.dds.nl/networking/linux-l2tp.html


"l2tp over ipsec"
Отправлено doker , 20-Ноя-08 09:58 
>
>танцевать отсюда - http://www.jacco2.dds.nl/networking/linux-l2tp.html

тыкни в ошибки конфигов плз
10.10.10.222 мой локальный IP, gw 10.10.10.1
88.88.88.1 IP циски
rc.conf

ifconfig_re0="inet 10.10.10.222  netmask 255.255.255.0"
defaultrouter="10.10.10.1"
racoon_enable="yes"
racoon_flag="-l /var/log/racoon"
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"


ipsec.conf

flush;
spdflush;
spdadd 10.10.10.222/32 88.88.88.1/32 any -P out ipsec esp/tunnel/10.10.10.222-88.88.88.1/require ;
spdadd 88.88.88.1/32 10.10.10.222/32 any -P in ipsec esp/tunnel/88.88.88.1-10.10.10.222/require ;

racoon.conf
path include "/usr/local/etc/racoon";
path pre_shared_key "/usr/local/etc/racoon/psk.txt";
log debug2;
padding
{
        maximum_length 20;      # maximum padding length.
        randomize off;          # enable randomize length.
        strict_check off;       # enable strict check.
        exclusive_tail off;     # extract last one octet.
}
timer
{
        # These value can be changed per remote node.
        counter 5;              # maximum trying count to send.
        interval 20 sec;        # maximum interval to resend.
        persend 1;              # the number of packets per send.
        phase1 30 sec;
        phase2 15 sec;
}
remote anonymous
{
        exchange_mode main,aggressive;
        doi ipsec_doi;
        situation identity_only;
        nonce_size 16;
        initial_contact on;
        proposal_check obey;    # obey, strict, or claim
        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key ;
                dh_group 1;
        }
}
sainfo anonymous
{
        pfs_group 1;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
}

psk.txt
88.88.88.1 ххххххххххххххх

l2tpd.conf

[global]
port = 1701
  auth file = /usr/local/etc/l2tp/l2tp-secrets
  [lac default]
  lns = 88.88.88.1
  redial = yes
  redial timeout = 1
  max redials = 5
require chap = yes
refuse pap = yes
require authentication = yes
name = myname
ppp debug = yes
pppoptfile = /letc/l2tp/options.l2tpd.client

options.l2tpd.client

mtu 1410
mru 1410
refuse-eap
noccp
logfile /var/log/ppp.log
nodeflate
noproxyarp
noauth
nodefaultroute
#replacedefaultroute
lock

l2tp-secrets
myname * mypass *



"l2tp over ipsec"
Отправлено doker , 20-Ноя-08 10:33 
>>цель - повторить виндавозное VPN подключение к L2TP серверу (циске) с использованием
>>IPSec PSK на FreeBSD.
>
>танцевать отсюда - http://www.jacco2.dds.nl/networking/linux-l2tp.html

убрал pfs_group 1; и поживее стало
но тунель необразуеться , а в логе пишет

Nov 20 09:40:18 poligon racoon: DEBUG: new cookie: ff3b61dce6ddf06c
Nov 20 09:40:18 poligon racoon: DEBUG: add payload of len 48, next type 13
Nov 20 09:40:18 poligon racoon: DEBUG: add payload of len 16, next type 0
Nov 20 09:40:18 poligon racoon: DEBUG: 100 bytes from 10.10.10.222[500] to 88.88.88.1[500]
Nov 20 09:40:18 poligon racoon: DEBUG: sockname 10.10.10.222[500]
Nov 20 09:40:18 poligon racoon: DEBUG: send packet from 10.10.10.222[500]
Nov 20 09:40:18 poligon racoon: DEBUG: send packet to 88.88.88.1[500]
Nov 20 09:40:18 poligon racoon: DEBUG: 1 times of 100 bytes message will be sent to 88.88.88.1[500]
Nov 20 09:40:18 poligon racoon: DEBUG:  ff3b61dc e6ddf06c 00000000 00000000 01100200 00000000 00000064 0d000034 00000001 0000000
Nov 20 09:40:18 poligon racoon: DEBUG: resend phase1 packet ff3b61dce6ddf06c:0000000000000000
Nov 20 09:40:18 poligon racoon: DEBUG: ===
Nov 20 09:40:18 poligon racoon: DEBUG: 92 bytes message received from 88.88.88.1[500] to 10.10.10.222[500]
Nov 20 09:40:18 poligon racoon: DEBUG:  ff3b61dc e6ddf06c b15bed4a 7898398d 0b100500 00000000 0000005c 00000040 00000001 0000000
Nov 20 09:40:18 poligon racoon: DEBUG: receive Information.
Nov 20 09:40:18 poligon racoon: DEBUG: begin.
Nov 20 09:40:18 poligon racoon: DEBUG: seen nptype=11(notify)
Nov 20 09:40:18 poligon racoon: DEBUG: succeed.
Nov 20 09:40:19 poligon racoon: DEBUG2: getph1byaddr: start
Nov 20 09:40:19 poligon racoon: DEBUG2: local: 10.10.10.222[0]
Nov 20 09:40:19 poligon racoon: DEBUG2: remote: 88.88.88.1[0]
Nov 20 09:40:19 poligon racoon: DEBUG2: p->local: 10.10.10.222[500]
Nov 20 09:40:19 poligon racoon: DEBUG2: p->remote: 88.88.88.1[500]
Nov 20 09:40:19 poligon racoon: DEBUG2: matched
Nov 20 09:40:19 poligon racoon: DEBUG2: CHKPH1THERE: no established ph1 handler found


setkey -D
No SAD entries.


"l2tp over ipsec"
Отправлено doker , 20-Ноя-08 12:47 
тунель вроде доковырял, в логах
Nov 20 10:03:58 poligon racoon: phase1(ident I msg1): 0.000240
Nov 20 10:05:43 poligon racoon: phase1(ident I msg1): 0.000246
Nov 20 10:07:28 poligon racoon: phase1(ident I msg1): 0.000244
Nov 20 10:09:14 poligon racoon: phase1(ident I msg1): 0.000250
Nov 20 10:10:59 poligon racoon: phase1(ident I msg1): 0.000245
Nov 20 10:12:44 poligon racoon: phase1(ident I msg1): 0.000248
Nov 20 10:14:29 poligon racoon: phase1(ident I msg1): 0.000243
Nov 20 10:16:14 poligon racoon: phase1(ident I msg1): 0.000225

но всёже l2tpd неподнимаеться, (( есть идеи ?