IPSEC ROADWARRIOR

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
nnmax
рядовой
Сообщения: 42
Зарегистрирован: 2010-03-28 21:48:28

IPSEC ROADWARRIOR

Непрочитанное сообщение nnmax » 2011-07-13 1:53:02

Собственно сабж.

Сервер с ipsec-tools-0.8.0
FreeBSD 8.2-PRERELEASE

Требуется подключать клиентов, причем часть из них уходят на l2tp другая разруливается средствами ракуна.
l2tp пока трогать не будем.

Более менее стандартный конфиг:

Код: Выделить всё


path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
log debug;

listen {
   isakmp 1.1.1.1 [500];
   isakmp_natt 1.1.1.1 [4500];
}

remote anonymous {
   exchange_mode main, aggressive;
   proposal_check obey;
   generate_policy on;
   nat_traversal on;
   passive on;

   proposal {
      encryption_algorithm aes 256;
      hash_algorithm sha1;
      authentication_method xauth_psk_server;
      dh_group 2;
   }
}

sainfo anonymous {
   pfs_group 2;
   lifetime time 12 hour;
   encryption_algorithm 3des, aes 256, blowfish, rijndael;
   authentication_algorithm hmac_sha1, hmac_md5;
   compression_algorithm deflate;
}

mode_cfg {
  network4 10.10.10.20;   
  netmask4 255.255.255.255;
  dns4 192.168.2.1;                                               
  split_network include 192.168.2.0/24,10.3.2.0/24;
}

На текущий момент замечено что при генерировании политик добавляется только одна сеть из параметра split_network, можно конечно их и скриптом добавить при поднятии первой фазы, но хотелось в конечном итоге этот параметр передавать радиусом и конечно для разных групп пользователей свои политики доступа.

Кто-нибудь сталкивался с такой ситуацией, есть какое-то решение?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35126
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: IPSEC ROADWARRIOR

Непрочитанное сообщение Alex Keda » 2012-01-10 0:25:01

всегда первая?
Убей их всех! Бог потом рассортирует...


nnmax
рядовой
Сообщения: 42
Зарегистрирован: 2010-03-28 21:48:28

Re: IPSEC ROADWARRIOR

Непрочитанное сообщение nnmax » 2012-02-15 0:25:59

Тема немного подзавяла, да и я на текущий момент костылем пользуюсь (скриптом добавляю политики), но все же буду копать исходники на эту тему, если чего раскопаю отпишу.

1.На текущий момент ракун довольно не плохо справляется с такими девайсами как iphone/ipad.
2. CiscoVPN_client также под винду работает(надо бы и под линусом проверить).
3. C MacOS пока срастить не удается, какие-то не понятные ошибки со стороны клиента, хотя замечу что похоже аппл более не использует софт от cisco , не знаю как в ранних версиях, хоть они в настройках и пишут cisco_vpn, на деле работает ракун в качестве клиента.
Т.е в принципе ничего не мешает просто написать текстовый конфиг под ракун и запустить его, единственное что меня останавливает это то что сертификаты придется хранить не в кейсторе в таком случае.
4. Андройды - пусть будет проклят тот день когда я сел за тачскрин этой поделки, как ни крути его, работать он не хотит как надо, вроде как светлое будущее появилось в 4х андройдах они таки добавили туда поддержку ipsec тунелей, хотя работать в 3Г сетях они пока не могут(при попытке поднять впн девайс уходит в ребут, пишут что в 4.0.3 версиях поправили)