Клиент FreeBSD + Сервер M$ TMG = ??
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- рядовой
- Сообщения: 31
- Зарегистрирован: 2009-01-29 13:01:20
Клиент FreeBSD + Сервер M$ TMG = ??
Добрый день.
Необходимо поднять туннель,
с моей стороны - FreeBSD, с противоположной - Microsoft Forefront Threat Management Gateway, который умеет PPTP, L2TP/IPsec.
Мне выданы реквизиты:
Адрес TMG Сервера
Имя пользователя
Домен
Пароль
Предварительный ключ
Вопрос: каким софтом со стороны FreeBSD можно подключить туннель на это чудо?
Необходимо поднять туннель,
с моей стороны - FreeBSD, с противоположной - Microsoft Forefront Threat Management Gateway, который умеет PPTP, L2TP/IPsec.
Мне выданы реквизиты:
Адрес TMG Сервера
Имя пользователя
Домен
Пароль
Предварительный ключ
Вопрос: каким софтом со стороны FreeBSD можно подключить туннель на это чудо?
Последний раз редактировалось f_andrey 2011-02-09 13:29:51, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- Electronik
- капитан
- Сообщения: 1593
- Зарегистрирован: 2008-11-15 17:32:56
- Откуда: Минск
- Контактная информация:
Re: Клиент FreeBSD + Сервер M$ TMG = ??
mpd,poptop
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог
Блог
-
- рядовой
- Сообщения: 31
- Зарегистрирован: 2009-01-29 13:01:20
Re: Клиент FreeBSD + Сервер M$ TMG = ??
поставил mpd5 из портов (FreeBSD 7.3)
как сервер mpd настраивал ...
как клиент - что-то не пойму.
Можно примерную инструкцию, рабочую?
А то с утра гуглю, ничего не взлетело пока ...
как сервер mpd настраивал ...
как клиент - что-то не пойму.
Можно примерную инструкцию, рабочую?
А то с утра гуглю, ничего не взлетело пока ...
- Electronik
- капитан
- Сообщения: 1593
- Зарегистрирован: 2008-11-15 17:32:56
- Откуда: Минск
- Контактная информация:
Re: Клиент FreeBSD + Сервер M$ TMG = ??
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог
Блог
-
- рядовой
- Сообщения: 31
- Зарегистрирован: 2009-01-29 13:01:20
Re: Клиент FreeBSD + Сервер M$ TMG = ??
>/mpd5_l2tp_client/
===========
попробовал по ссылке, не взлетело.
Обращаюсь к "серверу", мне говорят - только IPSEC в мою сторону могут дать.
В инструкции по ссылке про IPSEC нет ни слова.
Куда копать?
===========
попробовал по ссылке, не взлетело.
Обращаюсь к "серверу", мне говорят - только IPSEC в мою сторону могут дать.
В инструкции по ссылке про IPSEC нет ни слова.
Куда копать?
- manefesto
- Группенфюррер
- Сообщения: 6934
- Зарегистрирован: 2007-07-20 8:27:30
- Откуда: Пермь
- Контактная информация:
-
- рядовой
- Сообщения: 31
- Зарегистрирован: 2009-01-29 13:01:20
Re: Клиент FreeBSD + Сервер M$ TMG = ??
>> мне говорят - только IPSEC в мою сторону могут дать
> ppp + poptop
=======
IPSEC? точно?
> ppp + poptop
=======
IPSEC? точно?
-
- старшина
- Сообщения: 425
- Зарегистрирован: 2008-08-25 18:10:44
- Откуда: СССР, РФ, Сталинградская область, село Безродное
- Контактная информация:
Re: Клиент FreeBSD + Сервер M$ TMG = ??
load pptp_client в начале конфига.Basilio писал(а):поставил mpd5 из портов (FreeBSD 7.3)
как сервер mpd настраивал ...
как клиент - что-то не пойму.
Можно примерную инструкцию, рабочую?
А то с утра гуглю, ничего не взлетело пока ...
В самой секции только имя пользователя, пароль и адрес точки доступа поправить.
-
- рядовой
- Сообщения: 31
- Зарегистрирован: 2009-01-29 13:01:20
Re: Клиент FreeBSD + Сервер M$ TMG = ??
> load pptp_client в начале конфига
=======
Админ сервера мне уже сообщил, что PPTP от меня не примет.
Только IPSec.
mpd как я понимаю. отпадает.
Какие еще мысли?
=======
Админ сервера мне уже сообщил, что PPTP от меня не примет.
Только IPSec.
mpd как я понимаю. отпадает.
Какие еще мысли?
- Electronik
- капитан
- Сообщения: 1593
- Зарегистрирован: 2008-11-15 17:32:56
- Откуда: Минск
- Контактная информация:
Re: Клиент FreeBSD + Сервер M$ TMG = ??
Извините мы тут что Вам тест здаём на лучшую идею?
поиск для кого?
http://www.lissyara.su/?domains=www.lis ... 3A11&hl=ru
поиск для кого?
http://www.lissyara.su/?domains=www.lis ... 3A11&hl=ru
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог
Блог
-
- рядовой
- Сообщения: 31
- Зарегистрирован: 2009-01-29 13:01:20
Re: Клиент FreeBSD + Сервер M$ TMG = ??
> поиск для кого?
=======
гуглю вторые сутки, ничего не взлетает.
Хочется не просто "теория ipsec",
а чуть ближе к "практике", ipsec на MS TMG ...
Спасибо, и эти статьи попробую ...
=======
гуглю вторые сутки, ничего не взлетает.
Хочется не просто "теория ipsec",
а чуть ближе к "практике", ipsec на MS TMG ...
Спасибо, и эти статьи попробую ...
- Electronik
- капитан
- Сообщения: 1593
- Зарегистрирован: 2008-11-15 17:32:56
- Откуда: Минск
- Контактная информация:
Re: Клиент FreeBSD + Сервер M$ TMG = ??
маловероятно что Вы найдёте такое пошаговое How To, т.к в основном делаю всё на M$ либо на *nix'ах, ну +/-.
чем Вас не устроила это статья http://www.lissyara.su/archive/ipsec/ ?
чем Вас не устроила это статья http://www.lissyara.su/archive/ipsec/ ?
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог
Блог
-
- рядовой
- Сообщения: 31
- Зарегистрирован: 2009-01-29 13:01:20
Re: Клиент FreeBSD + Сервер M$ TMG = ??
ок, завтра попробую ...
з.ы.
2 строчки в gif интерфейсе ...
все время только одна
вида
gif0: flags=8011<UP,POINTOPOINT,MULTICAST> metric 0 mtu 1280
inet 192.168.1.0 --> 192.168.2.0 netmask 0xfffffe00
options=1<ACCEPT_REV_ETHIP_VER>
з.ы.
Ну никак у меня не получается ни при каких статьях/экспериментахgif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
tunnel inet 217.15.62.49 --> 217.15.62.200
inet 192.168.160.254 --> 192.168.170.254 netmask 0xffffffff
2 строчки в gif интерфейсе ...
все время только одна
вида
gif0: flags=8011<UP,POINTOPOINT,MULTICAST> metric 0 mtu 1280
inet 192.168.1.0 --> 192.168.2.0 netmask 0xfffffe00
options=1<ACCEPT_REV_ETHIP_VER>
- Electronik
- капитан
- Сообщения: 1593
- Зарегистрирован: 2008-11-15 17:32:56
- Откуда: Минск
- Контактная информация:
Re: Клиент FreeBSD + Сервер M$ TMG = ??
ну что бы ответить на Ваш вопрос, хотелось бы узнать что и как Вы делали.
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог
Блог
-
- рядовой
- Сообщения: 31
- Зарегистрирован: 2009-01-29 13:01:20
Re: Клиент FreeBSD + Сервер M$ TMG = ??
например, делал так:
http://www.freebsd.org/doc/en_US.ISO885 ... ipsec.html
Шел по пунктам,
строчку
потом делал так:
http://www.opennet.ru/opennews/art.shtml?num=1935
... аналогично. только одна строчка в интерфейсе ...
з.ы. 8.1 Релиз, свежеустановленный ...
http://www.freebsd.org/doc/en_US.ISO885 ... ipsec.html
Шел по пунктам,
строчку
Не получил ...gif0: flags=8051 mtu 1280
tunnel inet 172.16.5.4 --> 192.168.1.12
inet6 fe80::2e0:81ff:fe02:5881%gif0 prefixlen 64 scopeid 0x6
inet 10.246.38.1 --> 10.0.0.5 netmask 0xffffff00
потом делал так:
http://www.opennet.ru/opennews/art.shtml?num=1935
... аналогично. только одна строчка в интерфейсе ...
з.ы. 8.1 Релиз, свежеустановленный ...
-
- проходил мимо
Re: Клиент FreeBSD + Сервер M$ TMG = ??
Код: Выделить всё
cat -n /etc/rc.conf
22 gif_interfaces="tmg"
23 gifconfig_tmg="217.15.62.49 217.15.62.200"
24 ifconfig_tun404130="inet 172.16.0.1 172.16.1.1 netmask 0xffffffff"
172.16.0.1 - ypu local ip
завести без перезагрузки - /etc/netstart &
-
- проходил мимо
Re: Клиент FreeBSD + Сервер M$ TMG = ??
пиать!
sed s/tun404130/tmg/
sed s/tun404130/tmg/
-
- рядовой
- Сообщения: 31
- Зарегистрирован: 2009-01-29 13:01:20
Re: Клиент FreeBSD + Сервер M$ TMG = ??
Короче - домучал ... взлетел туннель.
Конфиги выложу чуть позже.
Всем спасибо.
з.ы. в рекомендованной выше статье http://www.lissyara.su/archive/ipsec/ - ошибка.
Конфиги выложу чуть позже.
Всем спасибо.
з.ы. в рекомендованной выше статье http://www.lissyara.su/archive/ipsec/ - ошибка.
-
- рядовой
- Сообщения: 31
- Зарегистрирован: 2009-01-29 13:01:20
Re: Клиент FreeBSD + Сервер M$ TMG = ??
Не претендую на истину в последней инстанции,
использовал ссылки выше и то, что сам накопал,
в результате конфиги, с которыми заработал туннель:
Дано.
Машина FreeBSD
IP внешний: 11.11.11.11
IP внутренний: 192.168.1.1
Машина MS TMG
IP внешний: 22.22.22.22
IP внутренний: 192.168.2.1
Ставим FreeBSD 8.1 RELEASE
Собираем ядро
Ставим ports/security/ipsec-tools, при установке задает вопросы, ничего не меняем.
Правим (если нет, создаем) /usr/local/etc/racoon/racoon.conf
Правим (если нет, создаем) /usr/local/etc/racoon/psk.txt
Важно: Выставляем права 600 на /usr/local/etc/racoon/psk.txt
Правим /etc/rc.conf
Правим /etc/ipsec.conf *) см. примечание.
Правим /etc/rc.firewall
Для чистоты эксперимента перегружаем машину.
Пингуем сетку с той стороны.
Со стороны Виндоус - симметричные настройки (3DES, MD5 и пр.пр., там в окошках ошибиться негде).
Примечание:
в статье http://www.lissyara.su/archive/ipsec/
написаны IP адреса внешние в обоих секциях, ТАК работать не хотело,
в сети почитал инструкции, написано внутренние-внешние, так и сделал, заработало.
использовал ссылки выше и то, что сам накопал,
в результате конфиги, с которыми заработал туннель:
Дано.
Машина FreeBSD
IP внешний: 11.11.11.11
IP внутренний: 192.168.1.1
Машина MS TMG
IP внешний: 22.22.22.22
IP внутренний: 192.168.2.1
Ставим FreeBSD 8.1 RELEASE
Собираем ядро
Код: Выделить всё
options IPSEC
options IPSEC_NAT_T
options IPSEC_DEBUG
device crypto
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=1000
Правим (если нет, создаем) /usr/local/etc/racoon/racoon.conf
Код: Выделить всё
path include "@sysconfdir_x@/racoon";
path pre_shared_key "/usr/local/etc/racoon/psk.txt";
log debug;
padding
{
maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
}
listen
{
isakmp 11.11.11.11 [500];
}
timer
{
counter 5; # maximum trying count to send.
interval 20 sec; # maximum interval to resend.
persend 1; # the number of packets per send.
phase1 30 sec;
phase2 15 sec;
}
remote 22.22.22.22
{
exchange_mode main;
lifetime time 8 hour;
my_identifier address;
peers_identifier address;
passive off;
generate_policy off;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo anonymous {
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
lifetime time 1 hour ;
compression_algorithm deflate;
}
Код: Выделить всё
22.22.22.22 my_super_secret_password
Правим /etc/rc.conf
Код: Выделить всё
firewall_enable="YES"
firewall_type="open"
racoon_enable="YES"
cloned_interfaces="gif0"
gif_interfaces="gif0"
gifconfig_gif0="11.11.11.11 22.22.22.22"
ifconfig_gif0="inet 192.168.1.1 netmask 255.255.255.0 192.168.2.1 netmask 255.255.255.0"
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
static_routes="RemoteLan"
route_RemoteLan="192.168.2.0/24 -interface gif0"
router_enable="YES"
router="/sbin/routed"
router_flags="-q"
gateway_enable="YES"
Код: Выделить всё
flush;
spdflush;
#add the policy to the SPD database
spdadd 192.168.1.0/24 192.168.2.0/24 any -P out ipsec esp/tunnel/11.11.11.11-22.22.22.22/require;
spdadd 192.168.2.0/24 192.168.1.0/24 any -P in ipsec esp/tunnel/22.22.22.22-11.11.11.11/require;
Код: Выделить всё
case ${firewall_type} in
[Oo][Pp][Ee][Nn])
${fwcmd} -f flush
${fwcmd} add allow ip from any to any via gif0
${fwcmd} add allow udp from 11.11.11.11 to 22.22.22.22 500
${fwcmd} add allow udp from 22.22.22.22 to 11.11.11.11 500
${fwcmd} add allow esp from 11.11.11.11 to 22.22.22.22
${fwcmd} add allow esp from 22.22.22.22 to 11.11.11.11
${fwcmd} add 65000 pass all from any to any
;;
Пингуем сетку с той стороны.
Со стороны Виндоус - симметричные настройки (3DES, MD5 и пр.пр., там в окошках ошибиться негде).
Примечание:
в статье http://www.lissyara.su/archive/ipsec/
написаны IP адреса внешние в обоих секциях, ТАК работать не хотело,
в сети почитал инструкции, написано внутренние-внешние, так и сделал, заработало.