The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"l2tp over ipsec"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"l2tp over ipsec"  
Сообщение от doker (ok) on 19-Ноя-08, 15:27 
цель - повторить виндавозное VPN подключение к L2TP серверу (циске) с использованием IPSec PSK на FreeBSD.
насколько я понял (поправте пжл если я ошибся) небходимо сначала настроить шифрованный тунель с помощью ipsec-tools с ключём (PSK), а потом поднимать l2tp сессию. кто силён в этом, подскажите детали пжл и если есть кинте ссылкой на общий мануал
Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

  • l2tp over ipsec, Deac, 15:37 , 19-Ноя-08, (1)  
    • l2tp over ipsec, doker, 15:44 , 19-Ноя-08, (2)  
      • l2tp over ipsec, Deac, 16:08 , 19-Ноя-08, (3)  
        • l2tp over ipsec, doker, 16:16 , 19-Ноя-08, (4)  
          • l2tp over ipsec, Deac, 16:23 , 19-Ноя-08, (5)  
            • l2tp over ipsec, doker, 16:41 , 19-Ноя-08, (6)  
              • l2tp over ipsec, Deac, 16:53 , 19-Ноя-08, (7)  
                • l2tp over ipsec, doker, 17:12 , 19-Ноя-08, (8)  
                  • l2tp over ipsec, Deac, 20:27 , 19-Ноя-08, (9)  
                    • l2tp over ipsec, doker, 09:42 , 20-Ноя-08, (11)  
  • l2tp over ipsec, anonymous, 20:32 , 19-Ноя-08, (10)  
    • l2tp over ipsec, doker, 09:58 , 20-Ноя-08, (12)  
    • l2tp over ipsec, doker, 10:33 , 20-Ноя-08, (13)  
      • l2tp over ipsec, doker, 12:47 , 20-Ноя-08, (14)  

Сообщения по теме [Сортировка по времени | RSS]


1. "l2tp over ipsec"  
Сообщение от Deac (??) on 19-Ноя-08, 15:37 
>цель - повторить виндавозное VPN подключение к L2TP серверу (циске) с использованием
>IPSec PSK на FreeBSD.
>насколько я понял (поправте пжл если я ошибся) небходимо сначала настроить шифрованный
>тунель с помощью ipsec-tools с ключём (PSK), а потом поднимать l2tp
>сессию. кто силён в этом, подскажите детали пжл и если есть
>кинте ссылкой на общий мануал

Теоретически возможно и l2tp over ipsec и наоборот, а просто l2tp или ipsec не достаточно?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "l2tp over ipsec"  
Сообщение от doker (ok) on 19-Ноя-08, 15:44 
>
>Теоретически возможно и l2tp over ipsec и наоборот, а просто l2tp или
>ipsec не достаточно?

там требуеться pre_shared_key и ms chap  авторизация

я до конца механизм непонимаю, поэтому судить о комбинациях немогу (

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "l2tp over ipsec"  
Сообщение от Deac (??) on 19-Ноя-08, 16:08 
>>
>>Теоретически возможно и l2tp over ipsec и наоборот, а просто l2tp или
>>ipsec не достаточно?
>
>там требуеться pre_shared_key и ms chap  авторизация
>
>я до конца механизм непонимаю, поэтому судить о комбинациях немогу (

Cisco ipsec принимает снаружи или l2tp?
Если первое, то man ipsec, man gif, ну и поиск по форуму, дальше mpd в плане l2tp client.
Если второе, то сначала mpd, потом gif.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "l2tp over ipsec"  
Сообщение от doker (ok) on 19-Ноя-08, 16:16 

>Cisco ipsec принимает снаружи или l2tp?
>Если первое, то man ipsec, man gif, ну и поиск по форуму,
>дальше mpd в плане l2tp client.
>Если второе, то сначала mpd, потом gif.

по идее,по l2tp ,
тоесть mpd настаивать как l2tp клиент с чап авторизацией, а как там прешаред кей фигурирует ? (интуитивно понимаю что поднимаеться шифрованный gif интерфейс)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "l2tp over ipsec"  
Сообщение от Deac (??) on 19-Ноя-08, 16:23 
>
>>Cisco ipsec принимает снаружи или l2tp?
>>Если первое, то man ipsec, man gif, ну и поиск по форуму,
>>дальше mpd в плане l2tp client.
>>Если второе, то сначала mpd, потом gif.
>
>по идее,по l2tp ,
>тоесть mpd настаивать как l2tp клиент с чап авторизацией, а как там
>прешаред кей фигурирует ? (интуитивно понимаю что поднимаеться шифрованный gif интерфейс)
>

тогда просто mpd, сходи сюда http://sourceforge.net/forum/?group_id=14145
почитай, потом спрашивай.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "l2tp over ipsec"  
Сообщение от doker (ok) on 19-Ноя-08, 16:41 

>
>тогда просто mpd, сходи сюда http://sourceforge.net/forum/?group_id=14145
>почитай, потом спрашивай.

mpd нужен для авторизации на l2tp сервере и поднятии интерфейса, а как быть с PSK ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "l2tp over ipsec"  
Сообщение от Deac (??) on 19-Ноя-08, 16:53 
>
>>
>>тогда просто mpd, сходи сюда http://sourceforge.net/forum/?group_id=14145
>>почитай, потом спрашивай.
>
>mpd нужен для авторизации на l2tp сервере и поднятии интерфейса, а как
>быть с PSK ?

Итак, cisco принимает l2tp с psk или сначала l2tp, потом ipsec с psk?
Если первое то задаём вопрос в вышеуказанном форуме.
Если второе то поднятие/опускание gif помещаем в up/down скрипт, mpd так умеет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "l2tp over ipsec"  
Сообщение от doker (ok) on 19-Ноя-08, 17:12 

>Итак, cisco принимает l2tp с psk или сначала l2tp, потом ipsec с
>psk?
>Если первое то задаём вопрос в вышеуказанном форуме.
>Если второе то поднятие/опускание gif помещаем в up/down скрипт, mpd так умеет.
>

циска-чёрный ящик, как в винде реализованно хз, там всё указанно в одном содинении

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "l2tp over ipsec"  
Сообщение от Deac (??) on 19-Ноя-08, 20:27 
>
>>Итак, cisco принимает l2tp с psk или сначала l2tp, потом ipsec с
>>psk?
>>Если первое то задаём вопрос в вышеуказанном форуме.
>>Если второе то поднятие/опускание gif помещаем в up/down скрипт, mpd так умеет.
>>
>
>циска-чёрный ящик, как в винде реализованно хз, там всё указанно в одном
>содинении

Тогда скорей всего первый случай, пробовать надо и так и так!

З.Ы. "Чёрным ящиком" кто-то рулит, обязательно!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "l2tp over ipsec"  
Сообщение от doker (ok) on 20-Ноя-08, 09:42 
рулевой был давно и счас его уже нет, в перспективе я до него доберусь но это будет нескоро
>
>Тогда скорей всего первый случай, пробовать надо и так и так!
>
>З.Ы. "Чёрным ящиком" кто-то рулит, обязательно!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "l2tp over ipsec"  
Сообщение от anonymous (??) on 19-Ноя-08, 20:32 
>цель - повторить виндавозное VPN подключение к L2TP серверу (циске) с использованием
>IPSec PSK на FreeBSD.

танцевать отсюда - http://www.jacco2.dds.nl/networking/linux-l2tp.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "l2tp over ipsec"  
Сообщение от doker (ok) on 20-Ноя-08, 09:58 
>
>танцевать отсюда - http://www.jacco2.dds.nl/networking/linux-l2tp.html

тыкни в ошибки конфигов плз
10.10.10.222 мой локальный IP, gw 10.10.10.1
88.88.88.1 IP циски
rc.conf

ifconfig_re0="inet 10.10.10.222  netmask 255.255.255.0"
defaultrouter="10.10.10.1"
racoon_enable="yes"
racoon_flag="-l /var/log/racoon"
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"


ipsec.conf

flush;
spdflush;
spdadd 10.10.10.222/32 88.88.88.1/32 any -P out ipsec esp/tunnel/10.10.10.222-88.88.88.1/require ;
spdadd 88.88.88.1/32 10.10.10.222/32 any -P in ipsec esp/tunnel/88.88.88.1-10.10.10.222/require ;

racoon.conf
path include "/usr/local/etc/racoon";
path pre_shared_key "/usr/local/etc/racoon/psk.txt";
log debug2;
padding
{
        maximum_length 20;      # maximum padding length.
        randomize off;          # enable randomize length.
        strict_check off;       # enable strict check.
        exclusive_tail off;     # extract last one octet.
}
timer
{
        # These value can be changed per remote node.
        counter 5;              # maximum trying count to send.
        interval 20 sec;        # maximum interval to resend.
        persend 1;              # the number of packets per send.
        phase1 30 sec;
        phase2 15 sec;
}
remote anonymous
{
        exchange_mode main,aggressive;
        doi ipsec_doi;
        situation identity_only;
        nonce_size 16;
        initial_contact on;
        proposal_check obey;    # obey, strict, or claim
        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key ;
                dh_group 1;
        }
}
sainfo anonymous
{
        pfs_group 1;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
}

psk.txt
88.88.88.1 ххххххххххххххх

l2tpd.conf

[global]
port = 1701
  auth file = /usr/local/etc/l2tp/l2tp-secrets
  [lac default]
  lns = 88.88.88.1
  redial = yes
  redial timeout = 1
  max redials = 5
require chap = yes
refuse pap = yes
require authentication = yes
name = myname
ppp debug = yes
pppoptfile = /letc/l2tp/options.l2tpd.client

options.l2tpd.client

mtu 1410
mru 1410
refuse-eap
noccp
logfile /var/log/ppp.log
nodeflate
noproxyarp
noauth
nodefaultroute
#replacedefaultroute
lock

l2tp-secrets
myname * mypass *


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "l2tp over ipsec"  
Сообщение от doker (ok) on 20-Ноя-08, 10:33 
>>цель - повторить виндавозное VPN подключение к L2TP серверу (циске) с использованием
>>IPSec PSK на FreeBSD.
>
>танцевать отсюда - http://www.jacco2.dds.nl/networking/linux-l2tp.html

убрал pfs_group 1; и поживее стало
но тунель необразуеться , а в логе пишет

Nov 20 09:40:18 poligon racoon: DEBUG: new cookie: ff3b61dce6ddf06c
Nov 20 09:40:18 poligon racoon: DEBUG: add payload of len 48, next type 13
Nov 20 09:40:18 poligon racoon: DEBUG: add payload of len 16, next type 0
Nov 20 09:40:18 poligon racoon: DEBUG: 100 bytes from 10.10.10.222[500] to 88.88.88.1[500]
Nov 20 09:40:18 poligon racoon: DEBUG: sockname 10.10.10.222[500]
Nov 20 09:40:18 poligon racoon: DEBUG: send packet from 10.10.10.222[500]
Nov 20 09:40:18 poligon racoon: DEBUG: send packet to 88.88.88.1[500]
Nov 20 09:40:18 poligon racoon: DEBUG: 1 times of 100 bytes message will be sent to 88.88.88.1[500]
Nov 20 09:40:18 poligon racoon: DEBUG:  ff3b61dc e6ddf06c 00000000 00000000 01100200 00000000 00000064 0d000034 00000001 0000000
Nov 20 09:40:18 poligon racoon: DEBUG: resend phase1 packet ff3b61dce6ddf06c:0000000000000000
Nov 20 09:40:18 poligon racoon: DEBUG: ===
Nov 20 09:40:18 poligon racoon: DEBUG: 92 bytes message received from 88.88.88.1[500] to 10.10.10.222[500]
Nov 20 09:40:18 poligon racoon: DEBUG:  ff3b61dc e6ddf06c b15bed4a 7898398d 0b100500 00000000 0000005c 00000040 00000001 0000000
Nov 20 09:40:18 poligon racoon: DEBUG: receive Information.
Nov 20 09:40:18 poligon racoon: DEBUG: begin.
Nov 20 09:40:18 poligon racoon: DEBUG: seen nptype=11(notify)
Nov 20 09:40:18 poligon racoon: DEBUG: succeed.
Nov 20 09:40:19 poligon racoon: DEBUG2: getph1byaddr: start
Nov 20 09:40:19 poligon racoon: DEBUG2: local: 10.10.10.222[0]
Nov 20 09:40:19 poligon racoon: DEBUG2: remote: 88.88.88.1[0]
Nov 20 09:40:19 poligon racoon: DEBUG2: p->local: 10.10.10.222[500]
Nov 20 09:40:19 poligon racoon: DEBUG2: p->remote: 88.88.88.1[500]
Nov 20 09:40:19 poligon racoon: DEBUG2: matched
Nov 20 09:40:19 poligon racoon: DEBUG2: CHKPH1THERE: no established ph1 handler found


setkey -D
No SAD entries.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "l2tp over ipsec"  
Сообщение от doker (ok) on 20-Ноя-08, 12:47 
тунель вроде доковырял, в логах
Nov 20 10:03:58 poligon racoon: phase1(ident I msg1): 0.000240
Nov 20 10:05:43 poligon racoon: phase1(ident I msg1): 0.000246
Nov 20 10:07:28 poligon racoon: phase1(ident I msg1): 0.000244
Nov 20 10:09:14 poligon racoon: phase1(ident I msg1): 0.000250
Nov 20 10:10:59 poligon racoon: phase1(ident I msg1): 0.000245
Nov 20 10:12:44 poligon racoon: phase1(ident I msg1): 0.000248
Nov 20 10:14:29 poligon racoon: phase1(ident I msg1): 0.000243
Nov 20 10:16:14 poligon racoon: phase1(ident I msg1): 0.000225

но всёже l2tpd неподнимаеться, (( есть идеи ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру