VPN L2TP/Racoon/IPSec
mytrix
mytrix at net4you.cz
Thu Apr 28 14:13:03 CEST 2005
Asi máte pravdu. Použiji PPTP, pokusím se zaktivovat MPPE a MPPC a snad to
bude stačit. Kdyby jste mi poslal ten manuál, byl bych vám zauzlován. :o)
2Dan Lukes:
No je to opravdu dělané podle toho návodu, který jsem uvedl. Server je
samozřejmě fBSD, klient jsou WINXP. Tou politikou bylo myšleno politiku pro
kornel, co má s jakým packetem udělat. Zadávalo se:
--------------
#!/bin/sh
/sbin/setkey -FP
/sbin/setkey -F
/sbin/setkey -c << EOF
spdadd 0.0.0.0/0 ip.vpn.serveru [1701] any -P out ipsec
esp/transport//require ;
spdadd ip.vpn.serveru [1701] 0.0.0.0/0 any -P in ipsec
esp/transport//require ;
EOF
--------------
Nicméně jak to tak vypadá, zřejmě se této metody vzdám. :( Sice by to bylo
fajn, ale obávám se, že je to nad moje síly toto rozchodit. Nicméně chtěl
bych vás ještě požádat, zda by jste mi nemohl napsat, jak by jste to řešil
vy. Protože máte pravdu v tom, že chci provést připojení klientů bez použití
klientského softu třetích stran a to pokud možno co nejjednodušeji. Možná
tedy existuje schůdnější cesta, než jsem zvolil já. Nevím třeba openSWAN by
bylo v tomto případě jednodušší, ale tak daleko už do problematiky nevidím.
Každopádně si velice vážím vámi obětovaného času.
Děkuji.
-----Original Message-----
From: users-l-bounces at freebsd.cz [mailto:users-l-bounces at freebsd.cz] On
Behalf Of Pavlicek Jaroslav Ing.
Sent: Thursday, April 28, 2005 1:39 PM
To: FreeBSD mailing list
Subject: RE: VPN L2TP/Racoon/IPSec
Dobry den,
po chvilce zkouseni a hledani se mi podarilo na serverech rozchodit poptop a
jsem s nim velmi spokojen. Nastaveni VPN ve windows je pro klienty
trivialni, VPN projde skz NAT, no proste pohoda.
Jestli budete mit zajem, mohu poslat navod a konfigurak.
--- Jarda Pavlicek
-----Original Message-----
From: users-l-bounces at freebsd.cz [mailto:users-l-bounces at freebsd.cz]On
Behalf Of mytrix
Sent: Thursday, April 28, 2005 12:31 PM
To: users-l at freebsd.cz
Subject: VPN L2TP/Racoon/IPSec
Dobrý den,
Obracím se na Vás s žádostí o radu. Pokouším se na fBSD 5.3 rozchodit
podporu pro VPN pomocí implementace L2TP/IPSec. Podporu pro IPSes mám již v
jádře systému zkompilovanou. Mám již i nainstalovaný a snad i dobře
zkonfigurovaný Racoon. Bohužel první problém, na který jsem narazil je, že
ve fBSD 5.X člověk prostě nemá šanci zkompilovat port l2tpd :(. Jelikož jsem
i po dlouhém hledání našel přímo zdrojové kódy, ani při manuální kompilaci
jsem nepochodil, tudíž usuzuji, že proste na fBSD 5.X tuto službu nerozjedu.
Ovšem co teď? Na internetu jsem našel ještě zmínku o alternativní službě
SL2TPS, kterou se mi nainstalovat podařilo, nicméně zde je ovšem problém v
tom, že se mi konfigurace v XML zdá být dosti omezená a když jsem se tedy
pokoušel postupovat podle tohoto návodu
(http://www.abclinuxu.cz/clanky/show/60983), kde se počítá s využitím
standardního l2tpd, narazil jsem nato, jak vůbec SL2TPS zkonfigurovat -
myšleno aby konfigurace odpovídala konfiguraci l2tpd.. :(. Dokumentace
samozřejmě minimální, tedy respektive není snad žádná.
A nyní k popisu problému.
LAN IP serveru je: 192.168.10.1
LAN IP stanice: 192.168.10.2
Spustil jsem Racoon, SL2TPS - oba v debug modu. Pokouším se připojit z
Windows XP+SP2 z VPN klienta ve win, L2TP IPsec. Na výstupu debug módu u
SL2TPS není nic. Zato u debug modu Racoon je celkem živo a za tu minutu, co
vyprší timeout mi tam profrčí všehovšudy 13000 řádků (a to jen za jeden
pokus o připojení). Nakonec ohlásí vypršení časového limitu (po minutě).
Debug log z Racoona je dostupny zde http://phoenix.net4you.cz/racoon.log.txt
(146kB) (samozřejmě že je ořezaný, neboť většina částí se opakuje neustále
dokola). Bohužel přiznám se, s touto problematikou nemám příliš zkušenosti,
a tak bych chtěl požádat někoho zkušenějšího, zda by mi mohl poradit, kde
hledat problém. Jediné co vím, že není problém v shared key, který alespoň
prozatím používám k ověření, neboť když jej zadám špatně, VPN mě ihned
vyhodí s tím, že ten klíč je špatný.
Taktéž, pokud má někdo nějaký jiný nápad, jak zprovoznit VPN přes IPSec,
uvítám jeho rady. Již se mi podařilo zprovoznit dříve OpenVPN, nicméně na
něm mi vadí, že u něj nelze použít VPN klienta, který je standardně ve
WinXP. Taktéž se mi podařilo zprovoznit VPN přes PPTP (Poptop), nicméně zde
mi zase vadí jeho poměrná nebezpečnost. Navíc dostat na fBSD podporu pro
MPPE a MPPC je také docela problém. :(
Děkuji za radu, konzultaci. :o)
mytrix
--
FreeBSD mailing list (users-l at freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
--
FreeBSD mailing list (users-l at freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
More information about the Users-l
mailing list