L2TP/IPSec сервер на Debian 6.0.6

Вооружившись этимэтимвот этим, засучив рукава и запасшись вниманием и терпением, приступим.

Ставим Openswan:

apt-get install openswan

В /etc/ipsec.secrets добавляем строчку

123.123.123.123 %any: PSK "OurStrongestPassword"

Где
123.123.123.123 — наш внешний IP-адрес, на который будут приходить запросы
OurStrongestPassword — PSK-ключ, единый для всех юзеров (с сертификатами не заморачиваемся)


Далее. Файл конфигурации IPSec /etc/ipsec.conf приводим к такому виду:

config setup
 nat_traversal=yes
 virtual_private=%v4:10.0.10.0/24
 oe=off
 protostack=netkey
conn L2TP-PSK-NAT
 rightsubnet=vhost:%priv
 also=L2TP-PSK-noNAT
 compress=yes

conn L2TP-PSK-noNAT
 authby=secret
 auto=add
 keyingtries=3
 rekey=no
 type=transport
 left=123.123.123.123
 leftprotoport=17/1701
 right=%any
 rightprotoport=17/%any
 dpddelay=15
 dpdtimeout=30
 dpdaction=clear
 pfs=no
 keyexchange=ike
 ike=aes128-sha1-modp1024
 esp=aes128-sha1

Не забываем вместо 123.123.123.123 указать свой внешний IP.

После этого делаем

update-rc.d ipsec defaults
invoke-rc.d ipsec restart

а также обязательно

ipsec verify

В результате должны получить картинку такого рода:

Безымянный
В /etc создаём файл disable_send_accept_redirects со следующим содержимым:

#!/bin/bash
# Disable send redirects
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
echo 0 > /proc/sys/net/ipv4/conf/default/send_redirects
echo 0 > /proc/sys/net/ipv4/conf/eth0/send_redirects
echo 0 > /proc/sys/net/ipv4/conf/eth1/send_redirects
echo 0 > /proc/sys/net/ipv4/conf/lo/send_redirects

# Disable accept redirects
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/default/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/eth0/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/eth1/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/lo/accept_redirects

Делаем файл исполняемым

chmod +x /etc/disable_send_accept_redirects
И засовываем его в /etc/interfaces:
pre-up /etc/disable_send_accept_redirects
Ок. С IPSec мы разобрались. Пришла очередь L2TP.
apt-get install xl2tpd
Файл /etc/xl2tpd/xl2tpd.conf приводим к следующему виду :


listen-addr = 123.123.123.123
 [lns default]       ; Our fallthrough LNS definition
ip range = 10.0.10.2-10.0.10.255 ; * Allocate from this IP range
local ip = 10.0.10.1    ; * Our local IP to use
length bit = yes      ; * Use length bit in payload?
refuse pap = yes      ; * Refuse PAP authentication
refuse chap = yes      ; * Refuse CHAP authentication
require authentication = yes   ; * Require peer to authenticate
ppp debug = yes      ; * Turn on PPP debugging
pppoptfile = /etc/ppp/options.l2tpd ; * ppp options file
Далее идём в /etc/ppp/options.l2tpd и «уделываем» его так:
require-mschap-v2
ms-dns 8.8.8.8
ms-dns 8.8.4.4
asyncmap 0
auth
crtscts
idle 1800
mru 1200
mtu 1200
lock
hide-password
modem
debug
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4
nodefaultroute
connect-delay 5000
logfile /var/log/l2tpd.log

В /etc/ppp/chap-secrets прописываем юзеров

# Secrets for authentication using CHAP
# client        server  secret                  IP addresses
test             *          «test»                   *

таким образом юзер test с паролем test сможет подключиться у нас откуда угодно (с любого адреса) и ему выделится адрес в VPN-сети из 10.0.10.0

И последний штрих:
invoke-rc.d xl2tpd restart
invoke-rc.d ipsec restart
Вэлкам! Можно подключаться с учётными данными, зарегистрированными в нашей системе.

L2TP/IPSec сервер на Debian 6.0.6: 4 комментария

  1. Я правильно понимаю настройка L2TP/IPSec это дает возможность подключаться и по IPSec и по L2TP в отдельности?
    И как понять как будут выглядеть настройки на тех же виндовых клиентах и по IPSec и по L2TP

  2. тут имеется ввиду ipsec поверх l2tp
    как выглядит подключение под виндой я и сам хочу знать.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *