Господа прошу помощи!Задача: настроить vpn для клиентов которые подключаются из интернетов, и смогут получить доступ к локальной сети компании (MS AD, т.е. подключаются используюя доменные логин пароль) Для этого поднят впн сервер, находится он за 2 натами, с этим проблем нет - простреливает. Пакеты openswan (2.6.38), xl2tpd (1.3.1-r2) и pppd (2.4.5-r3), все из портежа самые свежие.
Код:
Linux vpn03 3.8.4-gentoo #6 SMP Wed Mar 27 19:53:13 KRAT 2013 i686 Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz GenuineIntel GNU/Linux
Вот конфиги:
options.x2ltpd http://pastebin.com/f6U2UgvE
x2ltpd.conf http://pastebin.com/Mv0KYY9w
ipsec.conf http://pastebin.com/WDCk3HWKнастройки /etc/ppp/radiusclient.conf приводить не буду там все тривиально. nat на машине настроен. IPsec verify везде говорит что все ок.
xl2tpd -D дает такую инфу:
Код:xl2tpd[7084]: Enabling IPsec SAref processing for L2TP transport mode SAs
xl2tpd[7084]: IPsec SAref does not work with L2TP kernel mode yet, enabling forceuserspace=yes
xl2tpd[7084]: setsockopt recvref[30]: Protocol not available
xl2tpd[7084]: Using l2tp kernel support.
xl2tpd[7084]: consider_pidfile: There's already a xl2tpd server running.
Как я выяснил эти модули подгружать не стоит, тогда вообще работать ничего не будет. Тем не менее попробовать их загрузить не смог - в ядре их попросту нет или называются они как то по другому. Кстати о ядре. Большинство нужных вещей собраны модулями, на список нужных ориентировался по этому . Теперь собственно проблема: в винде(7/8) предварительно поправив ключ в реестре создаю подключение, выставляю обязательно шифрование и использование ms-chap-v2. Не подключается, если ставишь необязательное шифрование и chap - подключается. Политика на радиус сервере разрешает оба способа подключения.Итак логи когда отлупливает:
/var/log/auth.log http://pastebin.com/sMQgTjPx
/var/log/debug http://pastebin.com/jbMUKeEFВидно что проблема где то между xl2tpd и pppd. Сам ipsec думаю не при чем. Вообще суть работы всей этой шняги я понимаю так: клиент стучит на порт 4500 серверу, просыпается pluto они обмениваются ключами, потом пинается xl2tpd он поднимает тунель и пинает pppd который авторизует, т.е. по сути chap/mschapv2 и обязательное/необязательное роли не играет т.к. пароли летят уже по шифрованному тунелю(якобы). Но после многодневных чтений мануалов у меня закрались сомнения что: у меня нихера не секурно, а так же соединение можно поднять и без ipsec, что как бы неправильно.
С почтением прошу людей секущих фишку вразумить дабы понять что я делаю не так и в чем не прав. Челом бью.
Для просветления:
A. https://libreswan.org/ (https://download.libreswan.org/libreswan-3.1.tar.gz)
B. https://github.com/xelerance/Openswan/wiki/L2tp-ipsec-config...
> xl2tpd -DЭто стандартный вывод, ничего особенного.
x2ltpd.conf - Уберите в [global]:
ipsec saref = yes
options.x2ltpd:nodeflate
require-mppe-128
require-mschap-v2
lock
auth
nobsdcomp
novj
novjccomp
proxyarp
crtscts
modem
ipcp-accept-local
ipcp-accept-remote
plugin /usr/lib/pppd/2.4.5/radius.so
plugin /usr/lib/pppd/2.4.5/radattr.so
nodefaultroute
debug
>[оверквотинг удален]
> novjccomp
> proxyarp
> crtscts
> modem
> ipcp-accept-local
> ipcp-accept-remote
> plugin /usr/lib/pppd/2.4.5/radius.so
> plugin /usr/lib/pppd/2.4.5/radattr.so
> nodefaultroute
> debugПочему убрать dns? Если ставить auth, сам впн сервер просит представиться, и начинает искать в chap/pap-secrets что мне в принципе не надо. Так проверял, результат тот же.
>>[оверквотинг удален]Кратко - настройте для начала через файл chap-secrets что бы работало, дальше прикручивайте радиус.
>>>[оверквотинг удален]
> Кратко - настройте для начала через файл chap-secrets что бы работало, дальше
> прикручивайте радиус.через файл делал, работает.