Господа прошу помощи! Задача: настроить vpn для клиентов которые подключаются из интернетов, и смогут получить доступ к локальной сети компании (MS AD, т.е. подключаются используюя доменные логин пароль) Для этого поднят впн сервер, находится он за 2 натами, с этим проблем нет - простреливает. Пакеты openswan (2.6.38), xl2tpd (1.3.1-r2) и pppd (2.4.5-r3), все из портежа самые свежие.
Код:
Linux vpn03 3.8.4-gentoo #6 SMP Wed Mar 27 19:53:13 KRAT 2013 i686 Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz GenuineIntel GNU/Linux
Вот конфиги:
options.x2ltpd http://pastebin.com/f6U2UgvE
x2ltpd.conf http://pastebin.com/Mv0KYY9w
ipsec.conf http://pastebin.com/WDCk3HWK
настройки /etc/ppp/radiusclient.conf приводить не буду там все тривиально. nat на машине настроен. IPsec verify везде говорит что все ок.
xl2tpd -D дает такую инфу:
Код:
xl2tpd[7084]: Enabling IPsec SAref processing for L2TP transport mode SAs
xl2tpd[7084]: IPsec SAref does not work with L2TP kernel mode yet, enabling forceuserspace=yes
xl2tpd[7084]: setsockopt recvref[30]: Protocol not available
xl2tpd[7084]: Using l2tp kernel support.
xl2tpd[7084]: consider_pidfile: There's already a xl2tpd server running.
Как я выяснил эти модули подгружать не стоит, тогда вообще работать ничего не будет. Тем не менее попробовать их загрузить не смог - в ядре их попросту нет или называются они как то по другому. Кстати о ядре. Большинство нужных вещей собраны модулями, на список нужных ориентировался по этому . Теперь собственно проблема: в винде(7/8) предварительно поправив ключ в реестре создаю подключение, выставляю обязательно шифрование и использование ms-chap-v2. Не подключается, если ставишь необязательное шифрование и chap - подключается. Политика на радиус сервере разрешает оба способа подключения.
Итак логи когда отлупливает:
/var/log/auth.log http://pastebin.com/sMQgTjPx
/var/log/debug http://pastebin.com/jbMUKeEF
Видно что проблема где то между xl2tpd и pppd. Сам ipsec думаю не при чем. Вообще суть работы всей этой шняги я понимаю так: клиент стучит на порт 4500 серверу, просыпается pluto они обмениваются ключами, потом пинается xl2tpd он поднимает тунель и пинает pppd который авторизует, т.е. по сути chap/mschapv2 и обязательное/необязательное роли не играет т.к. пароли летят уже по шифрованному тунелю(якобы). Но после многодневных чтений мануалов у меня закрались сомнения что: у меня нихера не секурно, а так же соединение можно поднять и без ipsec, что как бы неправильно.
С почтением прошу людей секущих фишку вразумить дабы понять что я делаю не так и в чем не прав. Челом бью.