https://www.opennet.ru/openforum/vsluhforumID1/93092.html Добрый день!<br><br>Реализую удаленный доступ с использованием связки IPSec-L2TP.<br><br>В наличии:<br>1. Linux Server (gentoo) с установленным Openswan 2.6.37<br>2. Windows 7 Home Premium SP1<br><br>В процессе реализации стараюсь (сколько возможно) придерживаться вот этих мануалов:<br>http://www.jacco2.dds.nl/networking/openswan-l2tp.html<br>http://www.jacco2.dds.nl/networking/vista-openswan.html<br>http://www.jacco2.dds.nl/networking/win2000xp-openswan.html<br><br>Во всяком случае сколько я не искал информации по IPSec-L2TP, в конце-концов, приходил к этим страницам или страницам, с которых есть ссылки на эти страницы. :) Вообщем все твердят - читайте и все получится. Читаю! Но не получается одним момент.<br><br>Сначала настроил работу IPSec-L2TP с использованием Preshared Key - ВСЕ РАБОТАЕТ!<br>Теперь перешел на схему с использованием сертификатов - НЕ РАБОТАЕТ!<br><br>В логах сервера такая ошибка:<br>Feb 29 00:12:29 server pluto[13528]: "l2tp-cert"[1] A.B.C.D #1: Main mode peer ID is ID_DER_ASN1_DN: 'C=AAA, ST=BBB, L=CCC, O=DDD, OU=EEE, CN=My https://www.opennet.ru/openforum/vsluhforumID1/93092.html#6 Thu, 01 Mar 2012 00:50:54 GMT &gt; Читать документацию на официальном сайте!<br>&gt; http://git.openswan.org/cgi-bin/cgit/openswan/tree/programs/examples/l2tp-cert.conf.in <br><br>Пременого благодарен всем за предоставленные ответы.<br>Углубился в чтение.<br> https://www.opennet.ru/openforum/vsluhforumID1/93092.html#5 Wed, 29 Feb 2012 09:43:29 GMT &gt; Добрый день!<br>&gt; Суть ошибки <br>&gt; Feb 29 00:12:29 server pluto[13528]: "l2tp-cert"[1] A.B.C.D #1: no suitable connection <br>&gt; for peer 'C=AAA, ST=BBB, L=CCC, O=DDD, OU=EEE, CN=MyUserCName' <br>&gt; Feb 29 00:12:29 server pluto[13528]: "l2tp-cert"[1] A.B.C.D #1: sending encrypted notification <br>&gt; INVALID_ID_INFORMATION to A.B.C.D:500 <br><br>Читать документацию на официальном сайте!<br>http://git.openswan.org/cgi-bin/cgit/openswan/tree/programs/examples/l2tp-cert.conf.in<br><br>conn l2tp-X.509<br>authby=rsasig<br>pfs=no<br>auto=add<br>rekey=no<br>dpddelay=10<br>dpdtimeout=90<br>dpdaction=clear<br>ikelifetime=8h<br>keylife=1h<br>type=transport<br>#<br>left=%defaultroute<br>leftid=%fromcert<br>leftrsasigkey=%cert<br>leftcert=/etc/ipsec.d/certs/YourGatewayCertHere.pem<br>leftprotoport=17/1701<br>#<br># The remote user.<br>#<br>right=%any<br>rightca=%same<br>rightrsasigkey=%cert<br>rightprotoport=17/%any<br>rightsubnet=vhost:%priv,%no<br><br>У Вас проблема с сертификатами.<br><br>PS. Предыдущим постерам: не знаете что ответить, не отвечайте вообще (не надо лечит https://www.opennet.ru/openforum/vsluhforumID1/93092.html#4 Wed, 29 Feb 2012 03:23:50 GMT &gt;[оверквотинг удален]<br>&gt; rightca=%same <br>&gt; CA создан на основе OpenSSL стандартно: CA.sh -newca -newreq -sign ... -newreq <br>&gt; -sign. Сертификат пользователя экспортирован в Windows-клиент (как написано в мануалах, <br>&gt; указанных выше) без ошибок.<br>&gt; Вопросов несколько: <br>&gt; 1. Подскажите, где мог ошибиться?<br>&gt; 2. Может, кто поделится конфигом? Или ткнет носом в уже рабочий. К <br>&gt; сожалению гугль пока не помогает.<br>&gt; ps. rightid=%any - это я уже позже добавлял, на ошибку это не <br>&gt; повлияло <br><br>лично я делал на базе netkey -- т.е. с использованием racoon<br><br>http://www.ipsec-howto.org/<br>http://www.howtoforge.com/racoon_roadwarrior_vpn<br>http://vouters.dyndns.org/tima/Linux-Openswan-Setting_up_an_Intranet_VPN_with_Windows_7.html<br><br><br><br>собственно основная ошибка при настрjйке windows-клиента - это импорт сертификата в храyилище пользователя и не машины.<br> https://www.opennet.ru/openforum/vsluhforumID1/93092.html#3 Wed, 29 Feb 2012 02:55:23 GMT <br>&gt; 99.9% клиентов винды - приходят из-за NAT <br>&gt; и IPSec идет лесом <br><br>NAT-T уже отменили????? А мужики-то и не знают.<br><br><br>&gt; для freebsd есть хаки игрНоить source-IP для IPSec, но это <br>&gt; уже становится не ipsec <br><br>вау... <br><br>&gt; ставь openvpn <br><br>пожалуй, единственное заявление которое не полный бред, но к теме не относится.<br><br><br>PS. по теме - извини, что б ответить надо поднимать у себя тестовый сетап, а <br>желания никакого нет. Проблему ты понимаешь правильно, значит докопаешься до сути. В качестве сервера я бы посоветовал strongswan - он активно развивается да и документация у него получше.<br> https://www.opennet.ru/openforum/vsluhforumID1/93092.html#2 Wed, 29 Feb 2012 01:50:00 GMT &gt; все это бессмысленно.<br>&gt; 99.9% клиентов винды - приходят из-за NAT <br>&gt; и IPSec идет лесом <br><br>Ну с preshared key же все работало отлично (win7)!! В том числе и из-за NAT (там ключик с заумным названием AssumeUDPEncapsulationContextOnSendRule=2 надо ставить). Более того, пока сейчас разбираюсь у меня и сервер за NAT'ом.<br><br>Вряд ли все так грустно, что из за замены метода аутентификации, вообще не работает.<br>Во всяком случае в моей ошибке я сейчас вижу, что сервер говорит "no suitable connection", то есть чего-то не хватает или что-то лишнее в ipsec.conf.<br>Вопрос Что? Можно ли на рабочий пример посмотреть?<br><br>&gt; для freebsd есть хаки игрНоить source-IP для IPSec, но это <br>&gt; уже становится не ipsec <br><br>Это не осилю сейчас. Вообще с freebsd мало знаком.<br><br>&gt; ставь openvpn <br><br>Берегу как запасной вариант.<br> https://www.opennet.ru/openforum/vsluhforumID1/93092.html#1 Wed, 29 Feb 2012 01:30:23 GMT все это бессмысленно.<br><br>99.9% клиентов винды - приходят из-за NAT<br>и IPSec идет лесом<br><br>для freebsd есть хаки игрНоить source-IP для IPSec, но это уже становится не ipsec<br><br><br>ставь openvpn<br>