Добрый день!Реализую удаленный доступ с использованием связки IPSec-L2TP.
В наличии:
1. Linux Server (gentoo) с установленным Openswan 2.6.37
2. Windows 7 Home Premium SP1В процессе реализации стараюсь (сколько возможно) придерживаться вот этих мануалов:
http://www.jacco2.dds.nl/networking/openswan-l2tp.html
http://www.jacco2.dds.nl/networking/vista-openswan.html
http://www.jacco2.dds.nl/networking/win2000xp-openswan.htmlВо всяком случае сколько я не искал информации по IPSec-L2TP, в конце-концов, приходил к этим страницам или страницам, с которых есть ссылки на эти страницы. :) Вообщем все твердят - читайте и все получится. Читаю! Но не получается одним момент.
Сначала настроил работу IPSec-L2TP с использованием Preshared Key - ВСЕ РАБОТАЕТ!
Теперь перешел на схему с использованием сертификатов - НЕ РАБОТАЕТ!В логах сервера такая ошибка:
Feb 29 00:12:29 server pluto[13528]: "l2tp-cert"[1] A.B.C.D #1: Main mode peer ID is ID_DER_ASN1_DN: 'C=AAA, ST=BBB, L=CCC, O=DDD, OU=EEE, CN=MyUserCName'
Feb 29 00:12:29 server pluto[13528]: "l2tp-cert"[1] A.B.C.D #1: no suitable connection for peer 'C=AAA, ST=BBB, L=CCC, O=DDD, OU=EEE, CN=MyUserCName'
Feb 29 00:12:29 server pluto[13528]: "l2tp-cert"[1] A.B.C.D #1: sending encrypted notification INVALID_ID_INFORMATION to A.B.C.D:500Суть ошибки, как мне кажется, я понимаю. У меня в ipsec.conf такие параметры для Left и Right, которые не соответствуют тому, что реально происходит в соединении, соответственно IPSec не может создать SA со всеми вытекающими...
Вот ipsec.conf. Его прототип был взят из /etc/ipsec/examples, в который были внесены минимальные изменения
conn l2tp-cert
# general
type=transport
left=%defaultroute
leftprotoport=17/1701
right=%any
rightsubnet=vhost:%no,%priv
rightprotoport=17/%any
# automatic keying
auto=add
authby=rsasig
leftid=%fromcert
leftrsasigkey=%cert
leftcert=/etc/ipsec.d/certs/server.cert.pem
rightid=%any
rightrsasigkey=%cert
rightca=%sameCA создан на основе OpenSSL стандартно: CA.sh -newca -newreq -sign ... -newreq -sign. Сертификат пользователя экспортирован в Windows-клиент (как написано в мануалах, указанных выше) без ошибок.
Вопросов несколько:
1. Подскажите, где мог ошибиться?
2. Может, кто поделится конфигом? Или ткнет носом в уже рабочий. К сожалению гугль пока не помогает.ps. rightid=%any - это я уже позже добавлял, на ошибку это не повлияло
все это бессмысленно.99.9% клиентов винды - приходят из-за NAT
и IPSec идет лесомдля freebsd есть хаки игрНоить source-IP для IPSec, но это уже становится не ipsec
ставь openvpn
> все это бессмысленно.
> 99.9% клиентов винды - приходят из-за NAT
> и IPSec идет лесомНу с preshared key же все работало отлично (win7)!! В том числе и из-за NAT (там ключик с заумным названием AssumeUDPEncapsulationContextOnSendRule=2 надо ставить). Более того, пока сейчас разбираюсь у меня и сервер за NAT'ом.
Вряд ли все так грустно, что из за замены метода аутентификации, вообще не работает.
Во всяком случае в моей ошибке я сейчас вижу, что сервер говорит "no suitable connection", то есть чего-то не хватает или что-то лишнее в ipsec.conf.
Вопрос Что? Можно ли на рабочий пример посмотреть?> для freebsd есть хаки игрНоить source-IP для IPSec, но это
> уже становится не ipsecЭто не осилю сейчас. Вообще с freebsd мало знаком.
> ставь openvpn
Берегу как запасной вариант.
> 99.9% клиентов винды - приходят из-за NAT
> и IPSec идет лесомNAT-T уже отменили????? А мужики-то и не знают.
> для freebsd есть хаки игрНоить source-IP для IPSec, но это
> уже становится не ipsecвау...
> ставь openvpn
пожалуй, единственное заявление которое не полный бред, но к теме не относится.
PS. по теме - извини, что б ответить надо поднимать у себя тестовый сетап, а
желания никакого нет. Проблему ты понимаешь правильно, значит докопаешься до сути. В качестве сервера я бы посоветовал strongswan - он активно развивается да и документация у него получше.
>[оверквотинг удален]
> rightca=%same
> CA создан на основе OpenSSL стандартно: CA.sh -newca -newreq -sign ... -newreq
> -sign. Сертификат пользователя экспортирован в Windows-клиент (как написано в мануалах,
> указанных выше) без ошибок.
> Вопросов несколько:
> 1. Подскажите, где мог ошибиться?
> 2. Может, кто поделится конфигом? Или ткнет носом в уже рабочий. К
> сожалению гугль пока не помогает.
> ps. rightid=%any - это я уже позже добавлял, на ошибку это не
> повлиялолично я делал на базе netkey -- т.е. с использованием racoon
http://www.ipsec-howto.org/
http://www.howtoforge.com/racoon_roadwarrior_vpn
http://vouters.dyndns.org/tima/Linux-Openswan-Setting_up_an_...собственно основная ошибка при настрjйке windows-клиента - это импорт сертификата в храyилище пользователя и не машины.
> Добрый день!
> Суть ошибки
> Feb 29 00:12:29 server pluto[13528]: "l2tp-cert"[1] A.B.C.D #1: no suitable connection
> for peer 'C=AAA, ST=BBB, L=CCC, O=DDD, OU=EEE, CN=MyUserCName'
> Feb 29 00:12:29 server pluto[13528]: "l2tp-cert"[1] A.B.C.D #1: sending encrypted notification
> INVALID_ID_INFORMATION to A.B.C.D:500Читать документацию на официальном сайте!
http://git.openswan.org/cgi-bin/cgit/openswan/tree/programs/...conn l2tp-X.509
authby=rsasig
pfs=no
auto=add
rekey=no
dpddelay=10
dpdtimeout=90
dpdaction=clear
ikelifetime=8h
keylife=1h
type=transport
#
left=%defaultroute
leftid=%fromcert
leftrsasigkey=%cert
leftcert=/etc/ipsec.d/certs/YourGatewayCertHere.pem
leftprotoport=17/1701
#
# The remote user.
#
right=%any
rightca=%same
rightrsasigkey=%cert
rightprotoport=17/%any
rightsubnet=vhost:%priv,%noУ Вас проблема с сертификатами.
PS. Предыдущим постерам: не знаете что ответить, не отвечайте вообще (не надо лечить людей на тему поломался BMW иди и купи Mersedes).
> Читать документацию на официальном сайте!
> http://git.openswan.org/cgi-bin/cgit/openswan/tree/programs/...Пременого благодарен всем за предоставленные ответы.
Углубился в чтение.