Клиент FreeBSD + Сервер M$ TMG = ??

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Basilio
рядовой
Сообщения: 31
Зарегистрирован: 2009-01-29 13:01:20

Клиент FreeBSD + Сервер M$ TMG = ??

Непрочитанное сообщение Basilio » 2011-02-09 13:14:30

Добрый день.

Необходимо поднять туннель,
с моей стороны - FreeBSD, с противоположной - Microsoft Forefront Threat Management Gateway, который умеет PPTP, L2TP/IPsec.
Мне выданы реквизиты:

Адрес TMG Сервера
Имя пользователя
Домен
Пароль
Предварительный ключ

Вопрос: каким софтом со стороны FreeBSD можно подключить туннель на это чудо?
Последний раз редактировалось f_andrey 2011-02-09 13:29:51, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

Re: Клиент FreeBSD + Сервер M$ TMG = ??

Непрочитанное сообщение Electronik » 2011-02-09 13:38:03

mpd,poptop
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог

Basilio
рядовой
Сообщения: 31
Зарегистрирован: 2009-01-29 13:01:20

Re: Клиент FreeBSD + Сервер M$ TMG = ??

Непрочитанное сообщение Basilio » 2011-02-09 14:14:09

поставил mpd5 из портов (FreeBSD 7.3)
как сервер mpd настраивал ...
как клиент - что-то не пойму.
Можно примерную инструкцию, рабочую?
А то с утра гуглю, ничего не взлетело пока ...

Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

Re: Клиент FreeBSD + Сервер M$ TMG = ??

Непрочитанное сообщение Electronik » 2011-02-09 14:23:21

Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог

Basilio
рядовой
Сообщения: 31
Зарегистрирован: 2009-01-29 13:01:20

Re: Клиент FreeBSD + Сервер M$ TMG = ??

Непрочитанное сообщение Basilio » 2011-02-09 15:21:48

>/mpd5_l2tp_client/
===========
попробовал по ссылке, не взлетело.
Обращаюсь к "серверу", мне говорят - только IPSEC в мою сторону могут дать.
В инструкции по ссылке про IPSEC нет ни слова.

Куда копать?

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: Клиент FreeBSD + Сервер M$ TMG = ??

Непрочитанное сообщение manefesto » 2011-02-09 15:41:00

ppp + poptop
я такой яростный шо аж пиздеЦ
Изображение

Basilio
рядовой
Сообщения: 31
Зарегистрирован: 2009-01-29 13:01:20

Re: Клиент FreeBSD + Сервер M$ TMG = ??

Непрочитанное сообщение Basilio » 2011-02-09 15:43:21

>> мне говорят - только IPSEC в мою сторону могут дать
> ppp + poptop
=======
IPSEC? точно?

ski
старшина
Сообщения: 408
Зарегистрирован: 2008-08-25 18:10:44
Откуда: СССР, РФ, Сталинградская область, село Безродное
Контактная информация:

Re: Клиент FreeBSD + Сервер M$ TMG = ??

Непрочитанное сообщение ski » 2011-02-09 16:15:45

Basilio писал(а):поставил mpd5 из портов (FreeBSD 7.3)
как сервер mpd настраивал ...
как клиент - что-то не пойму.
Можно примерную инструкцию, рабочую?
А то с утра гуглю, ничего не взлетело пока ...
load pptp_client в начале конфига.
В самой секции только имя пользователя, пароль и адрес точки доступа поправить.

Basilio
рядовой
Сообщения: 31
Зарегистрирован: 2009-01-29 13:01:20

Re: Клиент FreeBSD + Сервер M$ TMG = ??

Непрочитанное сообщение Basilio » 2011-02-09 16:21:57

> load pptp_client в начале конфига
=======
Админ сервера мне уже сообщил, что PPTP от меня не примет.
Только IPSec.
mpd как я понимаю. отпадает.

Какие еще мысли?

Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

Re: Клиент FreeBSD + Сервер M$ TMG = ??

Непрочитанное сообщение Electronik » 2011-02-09 17:25:37

Извините мы тут что Вам тест здаём на лучшую идею?
поиск для кого?
http://www.lissyara.su/?domains=www.lis ... 3A11&hl=ru
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог

Basilio
рядовой
Сообщения: 31
Зарегистрирован: 2009-01-29 13:01:20

Re: Клиент FreeBSD + Сервер M$ TMG = ??

Непрочитанное сообщение Basilio » 2011-02-09 17:39:02

> поиск для кого?
=======
гуглю вторые сутки, ничего не взлетает.
Хочется не просто "теория ipsec",
а чуть ближе к "практике", ipsec на MS TMG ...
Спасибо, и эти статьи попробую ...

Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

Re: Клиент FreeBSD + Сервер M$ TMG = ??

Непрочитанное сообщение Electronik » 2011-02-09 18:38:40

маловероятно что Вы найдёте такое пошаговое How To, т.к в основном делаю всё на M$ либо на *nix'ах, ну +/-.
чем Вас не устроила это статья http://www.lissyara.su/archive/ipsec/ ?
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог

Basilio
рядовой
Сообщения: 31
Зарегистрирован: 2009-01-29 13:01:20

Re: Клиент FreeBSD + Сервер M$ TMG = ??

Непрочитанное сообщение Basilio » 2011-02-09 18:56:41

ок, завтра попробую ...

з.ы.
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
tunnel inet 217.15.62.49 --> 217.15.62.200
inet 192.168.160.254 --> 192.168.170.254 netmask 0xffffffff
Ну никак у меня не получается ни при каких статьях/экспериментах
2 строчки в gif интерфейсе ...
все время только одна
вида
gif0: flags=8011<UP,POINTOPOINT,MULTICAST> metric 0 mtu 1280
inet 192.168.1.0 --> 192.168.2.0 netmask 0xfffffe00
options=1<ACCEPT_REV_ETHIP_VER>

Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

Re: Клиент FreeBSD + Сервер M$ TMG = ??

Непрочитанное сообщение Electronik » 2011-02-09 20:21:20

ну что бы ответить на Ваш вопрос, хотелось бы узнать что и как Вы делали.
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог

Basilio
рядовой
Сообщения: 31
Зарегистрирован: 2009-01-29 13:01:20

Re: Клиент FreeBSD + Сервер M$ TMG = ??

Непрочитанное сообщение Basilio » 2011-02-09 21:15:30

например, делал так:
http://www.freebsd.org/doc/en_US.ISO885 ... ipsec.html
Шел по пунктам,
строчку
gif0: flags=8051 mtu 1280
tunnel inet 172.16.5.4 --> 192.168.1.12
inet6 fe80::2e0:81ff:fe02:5881%gif0 prefixlen 64 scopeid 0x6
inet 10.246.38.1 --> 10.0.0.5 netmask 0xffffff00
Не получил ...

потом делал так:
http://www.opennet.ru/opennews/art.shtml?num=1935
... аналогично. только одна строчка в интерфейсе ...

з.ы. 8.1 Релиз, свежеустановленный ...

_vadim64
проходил мимо

Re: Клиент FreeBSD + Сервер M$ TMG = ??

Непрочитанное сообщение _vadim64 » 2011-02-13 0:05:42

Код: Выделить всё

cat -n /etc/rc.conf
    22  gif_interfaces="tmg"
    23  gifconfig_tmg="217.15.62.49 217.15.62.200"
    24  ifconfig_tun404130="inet 172.16.0.1 172.16.1.1 netmask 0xffffffff"
217.15.62.49 - ypur wan ip
172.16.0.1 - ypu local ip

завести без перезагрузки - /etc/netstart &


Basilio
рядовой
Сообщения: 31
Зарегистрирован: 2009-01-29 13:01:20

Re: Клиент FreeBSD + Сервер M$ TMG = ??

Непрочитанное сообщение Basilio » 2011-02-15 16:01:40

Короче - домучал ... взлетел туннель.
Конфиги выложу чуть позже.
Всем спасибо.

з.ы. в рекомендованной выше статье http://www.lissyara.su/archive/ipsec/ - ошибка.

Basilio
рядовой
Сообщения: 31
Зарегистрирован: 2009-01-29 13:01:20

Re: Клиент FreeBSD + Сервер M$ TMG = ??

Непрочитанное сообщение Basilio » 2011-02-18 14:07:04

Не претендую на истину в последней инстанции,
использовал ссылки выше и то, что сам накопал,
в результате конфиги, с которыми заработал туннель:

Дано.
Машина FreeBSD
IP внешний: 11.11.11.11
IP внутренний: 192.168.1.1

Машина MS TMG
IP внешний: 22.22.22.22
IP внутренний: 192.168.2.1

Ставим FreeBSD 8.1 RELEASE
Собираем ядро

Код: Выделить всё

options         IPSEC
options         IPSEC_NAT_T
options         IPSEC_DEBUG
device          crypto

options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=1000
Ставим ports/security/ipsec-tools, при установке задает вопросы, ничего не меняем.

Правим (если нет, создаем) /usr/local/etc/racoon/racoon.conf

Код: Выделить всё

path include "@sysconfdir_x@/racoon";
path pre_shared_key "/usr/local/etc/racoon/psk.txt";

log debug;

padding
{
	maximum_length 20;	# maximum padding length.
	randomize off;		# enable randomize length.
	strict_check off;	# enable strict check.
	exclusive_tail off;	# extract last one octet.
}

listen
{
	isakmp 11.11.11.11 [500];
}

timer
{
	counter 5;		# maximum trying count to send.
	interval 20 sec;	# maximum interval to resend.
	persend 1;		# the number of packets per send.

	phase1 30 sec;
	phase2 15 sec;
}

remote 22.22.22.22
{
	exchange_mode main;
	lifetime time 8 hour;
	my_identifier address;
	peers_identifier address;
	passive off;
	generate_policy off;
	proposal {
		encryption_algorithm 3des;
		hash_algorithm md5;
		authentication_method pre_shared_key;
		dh_group 2;
	}
}


sainfo anonymous {
	encryption_algorithm 3des;
	authentication_algorithm hmac_md5;
	lifetime time 1 hour ;
	compression_algorithm deflate;
}
Правим (если нет, создаем) /usr/local/etc/racoon/psk.txt

Код: Выделить всё

22.22.22.22          my_super_secret_password
Важно: Выставляем права 600 на /usr/local/etc/racoon/psk.txt

Правим /etc/rc.conf

Код: Выделить всё

firewall_enable="YES"
firewall_type="open"

racoon_enable="YES"
cloned_interfaces="gif0"
gif_interfaces="gif0"
gifconfig_gif0="11.11.11.11 22.22.22.22"
ifconfig_gif0="inet 192.168.1.1 netmask 255.255.255.0 192.168.2.1 netmask 255.255.255.0"

ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
static_routes="RemoteLan"
route_RemoteLan="192.168.2.0/24 -interface gif0"

router_enable="YES"
router="/sbin/routed"
router_flags="-q"
gateway_enable="YES"
Правим /etc/ipsec.conf *) см. примечание.

Код: Выделить всё

flush;
spdflush;
#add the policy to the SPD database
spdadd 192.168.1.0/24 192.168.2.0/24 any -P out ipsec esp/tunnel/11.11.11.11-22.22.22.22/require;
spdadd 192.168.2.0/24 192.168.1.0/24 any -P in ipsec esp/tunnel/22.22.22.22-11.11.11.11/require;
Правим /etc/rc.firewall

Код: Выделить всё

case ${firewall_type} in
[Oo][Pp][Ee][Nn])
        ${fwcmd} -f flush
        ${fwcmd} add allow ip from any to any via gif0
        ${fwcmd} add allow udp from 11.11.11.11 to 22.22.22.22 500
        ${fwcmd} add allow udp from 22.22.22.22 to 11.11.11.11 500
        ${fwcmd} add allow esp from 11.11.11.11 to 22.22.22.22
        ${fwcmd} add allow esp from 22.22.22.22 to 11.11.11.11
        ${fwcmd} add 65000 pass all from any to any
        ;;
Для чистоты эксперимента перегружаем машину.
Пингуем сетку с той стороны.

Со стороны Виндоус - симметричные настройки (3DES, MD5 и пр.пр., там в окошках ошибиться негде).

Примечание:
в статье http://www.lissyara.su/archive/ipsec/
написаны IP адреса внешние в обоих секциях, ТАК работать не хотело,
в сети почитал инструкции, написано внутренние-внешние, так и сделал, заработало.