Клиент FreeBSD + Сервер M$ TMG = ??

[Basilio]

Добрый день.

Необходимо поднять туннель,
с моей стороны - FreeBSD, с противоположной - Microsoft Forefront Threat Management Gateway, который умеет PPTP, L2TP/IPsec.
Мне выданы реквизиты:

Адрес TMG Сервера
Имя пользователя
Домен
Пароль
Предварительный ключ

Вопрос: каким софтом со стороны FreeBSD можно подключить туннель на это чудо?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Electronik]

mpd,poptop

[Basilio]

поставил mpd5 из портов (FreeBSD 7.3)
как сервер mpd настраивал ...
как клиент - что-то не пойму.
Можно примерную инструкцию, рабочую?
А то с утра гуглю, ничего не взлетело пока ...

[Electronik]

http://www.lissyara.su/articles/freebsd ... tp_client/

[Basilio]

>/mpd5_l2tp_client/
===========
попробовал по ссылке, не взлетело.
Обращаюсь к "серверу", мне говорят - только IPSEC в мою сторону могут дать.
В инструкции по ссылке про IPSEC нет ни слова.

Куда копать?

[manefesto]

ppp + poptop

[Basilio]

>> мне говорят - только IPSEC в мою сторону могут дать
> ppp + poptop
=======
IPSEC? точно?

[ski]

поставил mpd5 из портов (FreeBSD 7.3)
как сервер mpd настраивал ...
как клиент - что-то не пойму.
Можно примерную инструкцию, рабочую?
А то с утра гуглю, ничего не взлетело пока ...

load pptp_client в начале конфига.
В самой секции только имя пользователя, пароль и адрес точки доступа поправить.

[Basilio]

> load pptp_client в начале конфига
=======
Админ сервера мне уже сообщил, что PPTP от меня не примет.
Только IPSec.
mpd как я понимаю. отпадает.

Какие еще мысли?

[Electronik]

Извините мы тут что Вам тест здаём на лучшую идею?
поиск для кого?
http://www.lissyara.su/?domains=www.lis ... 3A11&hl=ru

[Basilio]

> поиск для кого?
=======
гуглю вторые сутки, ничего не взлетает.
Хочется не просто "теория ipsec",
а чуть ближе к "практике", ipsec на MS TMG ...
Спасибо, и эти статьи попробую ...

[Electronik]

маловероятно что Вы найдёте такое пошаговое How To, т.к в основном делаю всё на M$ либо на *nix'ах, ну +/-.
чем Вас не устроила это статья http://www.lissyara.su/archive/ipsec/ ?

[Basilio]

ок, завтра попробую ...

з.ы.

gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
tunnel inet 217.15.62.49 --> 217.15.62.200
inet 192.168.160.254 --> 192.168.170.254 netmask 0xffffffff

Ну никак у меня не получается ни при каких статьях/экспериментах
2 строчки в gif интерфейсе ...
все время только одна
вида
gif0: flags=8011<UP,POINTOPOINT,MULTICAST> metric 0 mtu 1280
inet 192.168.1.0 --> 192.168.2.0 netmask 0xfffffe00
options=1<ACCEPT_REV_ETHIP_VER>

[Electronik]

ну что бы ответить на Ваш вопрос, хотелось бы узнать что и как Вы делали.

[Basilio]

например, делал так:
http://www.freebsd.org/doc/en_US.ISO885 ... ipsec.html
Шел по пунктам,
строчку

gif0: flags=8051 mtu 1280
tunnel inet 172.16.5.4 --> 192.168.1.12
inet6 fe80::2e0:81ff:fe02:5881%gif0 prefixlen 64 scopeid 0x6
inet 10.246.38.1 --> 10.0.0.5 netmask 0xffffff00

Не получил ...

потом делал так:
http://www.opennet.ru/opennews/art.shtml?num=1935
... аналогично. только одна строчка в интерфейсе ...

з.ы. 8.1 Релиз, свежеустановленный ...

[_vadim64]

Код: Выделить всё

cat -n /etc/rc.conf
    22  gif_interfaces="tmg"
    23  gifconfig_tmg="217.15.62.49 217.15.62.200"
    24  ifconfig_tun404130="inet 172.16.0.1 172.16.1.1 netmask 0xffffffff"

217.15.62.49 - ypur wan ip
172.16.0.1 - ypu local ip

завести без перезагрузки - /etc/netstart &

[_vadim64]

пиать!
sed s/tun404130/tmg/

[Basilio]

Короче - домучал ... взлетел туннель.
Конфиги выложу чуть позже.
Всем спасибо.

з.ы. в рекомендованной выше статье http://www.lissyara.su/archive/ipsec/ - ошибка.

[Basilio]

Не претендую на истину в последней инстанции,
использовал ссылки выше и то, что сам накопал,
в результате конфиги, с которыми заработал туннель:

Дано.
Машина FreeBSD
IP внешний: 11.11.11.11
IP внутренний: 192.168.1.1

Машина MS TMG
IP внешний: 22.22.22.22
IP внутренний: 192.168.2.1

Ставим FreeBSD 8.1 RELEASE
Собираем ядро

Код: Выделить всё

options         IPSEC
options         IPSEC_NAT_T
options         IPSEC_DEBUG
device          crypto

options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=1000

Ставим ports/security/ipsec-tools, при установке задает вопросы, ничего не меняем.

Правим (если нет, создаем) /usr/local/etc/racoon/racoon.conf

Код: Выделить всё

path include "@sysconfdir_x@/racoon";
path pre_shared_key "/usr/local/etc/racoon/psk.txt";

log debug;

padding
{
	maximum_length 20;	# maximum padding length.
	randomize off;		# enable randomize length.
	strict_check off;	# enable strict check.
	exclusive_tail off;	# extract last one octet.
}

listen
{
	isakmp 11.11.11.11 [500];
}

timer
{
	counter 5;		# maximum trying count to send.
	interval 20 sec;	# maximum interval to resend.
	persend 1;		# the number of packets per send.

	phase1 30 sec;
	phase2 15 sec;
}

remote 22.22.22.22
{
	exchange_mode main;
	lifetime time 8 hour;
	my_identifier address;
	peers_identifier address;
	passive off;
	generate_policy off;
	proposal {
		encryption_algorithm 3des;
		hash_algorithm md5;
		authentication_method pre_shared_key;
		dh_group 2;
	}
}


sainfo anonymous {
	encryption_algorithm 3des;
	authentication_algorithm hmac_md5;
	lifetime time 1 hour ;
	compression_algorithm deflate;
}

Правим (если нет, создаем) /usr/local/etc/racoon/psk.txt

Код: Выделить всё

22.22.22.22          my_super_secret_password

Важно: Выставляем права 600 на /usr/local/etc/racoon/psk.txt

Правим /etc/rc.conf

Код: Выделить всё

firewall_enable="YES"
firewall_type="open"

racoon_enable="YES"
cloned_interfaces="gif0"
gif_interfaces="gif0"
gifconfig_gif0="11.11.11.11 22.22.22.22"
ifconfig_gif0="inet 192.168.1.1 netmask 255.255.255.0 192.168.2.1 netmask 255.255.255.0"

ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
static_routes="RemoteLan"
route_RemoteLan="192.168.2.0/24 -interface gif0"

router_enable="YES"
router="/sbin/routed"
router_flags="-q"
gateway_enable="YES"

Правим /etc/ipsec.conf *) см. примечание.

Код: Выделить всё

flush;
spdflush;
#add the policy to the SPD database
spdadd 192.168.1.0/24 192.168.2.0/24 any -P out ipsec esp/tunnel/11.11.11.11-22.22.22.22/require;
spdadd 192.168.2.0/24 192.168.1.0/24 any -P in ipsec esp/tunnel/22.22.22.22-11.11.11.11/require;

Правим /etc/rc.firewall

Код: Выделить всё

case ${firewall_type} in
[Oo][Pp][Ee][Nn])
        ${fwcmd} -f flush
        ${fwcmd} add allow ip from any to any via gif0
        ${fwcmd} add allow udp from 11.11.11.11 to 22.22.22.22 500
        ${fwcmd} add allow udp from 22.22.22.22 to 11.11.11.11 500
        ${fwcmd} add allow esp from 11.11.11.11 to 22.22.22.22
        ${fwcmd} add allow esp from 22.22.22.22 to 11.11.11.11
        ${fwcmd} add 65000 pass all from any to any
        ;;

Для чистоты эксперимента перегружаем машину.
Пингуем сетку с той стороны.

Со стороны Виндоус - симметричные настройки (3DES, MD5 и пр.пр., там в окошках ошибиться негде).

Примечание:
в статье http://www.lissyara.su/archive/ipsec/
написаны IP адреса внешние в обоих секциях, ТАК работать не хотело,
в сети почитал инструкции, написано внутренние-внешние, так и сделал, заработало.