l2tp + ipsec

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
CTOPMbI4
прапорщик
Сообщения: 482
Зарегистрирован: 2008-05-02 20:20:47
Откуда: Made in Russia

l2tp + ipsec

Непрочитанное сообщение CTOPMbI4 » 2013-11-28 8:55:53

Приветствую коллеги.
появилась задача организовать туннель по l2tp между 2мя роутерами на FreeBSD
поднял mpd5 с одной стороны сервер с другой клиент.
все поднялось работает на ура.
теперь хотелось бы траффик зашифровать. Погуглил нашел вариант через ipsec.нашел тут же .
http://www.lissyara.su/articles/freebsd ... ty/ipsec2/
Для подключения ipsec нужно пересобрать ядро.
1.Если ли возможность включить поддержку ipsec в систему без ее пересборки?
2. Какие есть еще варианты зашифровать трафик l2tp?
Это почти неподвижности мука
Мчаться куда то со скоростью звука,
зная преакрасно, что есть уже где то
Некто
Летящий
Со скорости
Света!

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

snorlov
подполковник
Сообщения: 3914
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: l2tp + ipsec

Непрочитанное сообщение snorlov » 2013-11-28 14:40:05

А откуда вы знаете. что ваш трафик между сетями(не роутерами) не шифрован...
Если у вас вас фря выше 7.0, то грузите нужные вам модули через /boot/loaser.conf...

Аватара пользователя
CTOPMbI4
прапорщик
Сообщения: 482
Зарегистрирован: 2008-05-02 20:20:47
Откуда: Made in Russia

Re: l2tp + ipsec

Непрочитанное сообщение CTOPMbI4 » 2013-11-29 7:15:15

snorlov писал(а):А откуда вы знаете. что ваш трафик между сетями(не роутерами) не шифрован...
Если у вас вас фря выше 7.0, то грузите нужные вам модули через /boot/loaser.conf...
как я понимаю l2tp в чистом виде не шифрован.
версия FreeBSD 9.1 Release

Сервант боевой и компилить ядро не хочется. Да и ребутать его лишний раз.
Вопрос возможно ли загрузить модулем поддержку IP-SEC?
Это почти неподвижности мука
Мчаться куда то со скоростью звука,
зная преакрасно, что есть уже где то
Некто
Летящий
Со скорости
Света!

snorlov
подполковник
Сообщения: 3914
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: l2tp + ipsec

Непрочитанное сообщение snorlov » 2013-11-29 9:25:19

CTOPMbI4 писал(а): версия FreeBSD 9.1 Release
Сервант боевой и компилить ядро не хочется. Да и ребутать его лишний раз.
Вопрос возможно ли загрузить модулем поддержку IP-SEC?
Ошибся, надо компилять ядро, точнее netinet... Так а в чем дело, вы же будете компилять и устанавливать только ядро, и mergemaster запускать не надо...

Аватара пользователя
CTOPMbI4
прапорщик
Сообщения: 482
Зарегистрирован: 2008-05-02 20:20:47
Откуда: Made in Russia

Re: l2tp + ipsec

Непрочитанное сообщение CTOPMbI4 » 2013-11-29 10:39:21

понятно без пересборки не получится.
На машине есть клиенты. резерва нет. еще и стоит в другом городе.
а другие варианты есть для шифрования трафика l2tp (mpd)?
Это почти неподвижности мука
Мчаться куда то со скоростью звука,
зная преакрасно, что есть уже где то
Некто
Летящий
Со скорости
Света!

snorlov
подполковник
Сообщения: 3914
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: l2tp + ipsec

Непрочитанное сообщение snorlov » 2013-11-29 11:34:15

Почему вы зациклились то на l2tp, mpd позволяет задействовать и другие протоколы, например pppoe.

Аватара пользователя
CTOPMbI4
прапорщик
Сообщения: 482
Зарегистрирован: 2008-05-02 20:20:47
Откуда: Made in Russia

Re: l2tp + ipsec

Непрочитанное сообщение CTOPMbI4 » 2013-11-29 11:55:33

snorlov писал(а):Почему вы зациклились то на l2tp, mpd позволяет задействовать и другие протоколы, например pppoe.
Не подскажите как мне передать PADI пакет через ip сеть? :-D
Это почти неподвижности мука
Мчаться куда то со скоростью звука,
зная преакрасно, что есть уже где то
Некто
Летящий
Со скорости
Света!

snorlov
подполковник
Сообщения: 3914
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: l2tp + ipsec

Непрочитанное сообщение snorlov » 2013-11-29 13:30:49

CTOPMbI4 писал(а):
snorlov писал(а):Почему вы зациклились то на l2tp, mpd позволяет задействовать и другие протоколы, например pppoe.
Не подскажите как мне передать PADI пакет через ip сеть? :-D
Простите, но ???
Может у меня что-то с головой....

Аватара пользователя
CTOPMbI4
прапорщик
Сообщения: 482
Зарегистрирован: 2008-05-02 20:20:47
Откуда: Made in Russia

Re: l2tp + ipsec

Непрочитанное сообщение CTOPMbI4 » 2013-11-29 13:55:37

Вы же понимаете как работает pppoe.
так как на счет других вариантов шифрования трафика l2tp (mpd)
Это почти неподвижности мука
Мчаться куда то со скоростью звука,
зная преакрасно, что есть уже где то
Некто
Летящий
Со скорости
Света!

lazhu
сержант
Сообщения: 236
Зарегистрирован: 2013-08-10 14:28:38
Контактная информация:

Re: l2tp + ipsec

Непрочитанное сообщение lazhu » 2013-11-30 8:38:37

Если туннель устанавливается между двумя серверами, то чем не угодил openvpn с нативным 2048-битным шифрованием?

Аватара пользователя
CTOPMbI4
прапорщик
Сообщения: 482
Зарегистрирован: 2008-05-02 20:20:47
Откуда: Made in Russia

Re: l2tp + ipsec

Непрочитанное сообщение CTOPMbI4 » 2013-12-02 6:08:22

OpenVPN конечно вариант. но хотелось без накручивание лишнего. по средствам того же mpd все реализовать, хотя так то работает l2tp но как то без шифрования напрягает.
Это почти неподвижности мука
Мчаться куда то со скоростью звука,
зная преакрасно, что есть уже где то
Некто
Летящий
Со скорости
Света!

neurobomman
сержант
Сообщения: 187
Зарегистрирован: 2008-02-04 19:40:49
Откуда: г. Мирный Арх.обл (который Космодром Плесецк)
Контактная информация:

Re: l2tp + ipsec

Непрочитанное сообщение neurobomman » 2014-01-02 12:12:45

Здравствуйте!
Да бы не флудить не стал создавать отдельную тему. Нуждаюсь в совете знатоков.
На домашнем "сервере" поднимаю VPN l2tp/ipsec для клиентов под Win, iOS , Android.
Интернет через модем, NAT. Для ipsec - racoon, для l2tp - mpd.
Конфиги:

KERNEL

Код: Выделить всё

#IPSec
options         IPSEC
options         IPSEC_NAT_T
options         IPSEC_FILTERTUNNEL
device          crypto
device          enc
RACOON

Код: Выделить всё

path pre_shared_key "/usr/local/etc/racoon/psk.txt";

listen
{
    # REPLACE w.x.y.z with the IP address racoon will listen on (if NAT translated, this is the INSIDE IP)
        isakmp           192.168.77.106 [500];
        isakmp_natt      192.168.77.106 [4500];
           strict_address;
}

remote anonymous
{
        exchange_mode    main;
        passive          on;
        proposal_check   obey;
        support_proxy    on;
        nat_traversal    on;
        ike_frag         on;
        dpd_delay        20;

        proposal
        {
                encryption_algorithm  aes;
                hash_algorithm        sha1;
                authentication_method pre_shared_key;
                dh_group              modp1024;
        }

        proposal
        {
                encryption_algorithm  3des;
                hash_algorithm        sha1;
                authentication_method pre_shared_key;
                dh_group              modp1024;
        }
}

sainfo anonymous
{
        encryption_algorithm     aes,3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm    deflate;
        pfs_group                modp1024;
}

SETKEY.CONF

Код: Выделить всё

flush;
spdflush;
spdadd 0.0.0.0/0[0] 0.0.0.0/0[1701] udp -P in  ipsec esp/transport//require;
spdadd 0.0.0.0/0[1701] 0.0.0.0/0[0] udp -P out ipsec esp/transport//require;

MPD (секцию startup не привожу)

Код: Выделить всё

default:
        load l2tp_server
        

l2tp_server:
# Define dynamic IP address pool.
        set ippool add pool1 192.168.77.200 192.168.77.210

# Create clonable bundle template named B
        create bundle template BL
        set iface enable proxy-arp
        set iface idle 0
        set iface enable tcpmssfix
        set ipcp yes vjcomp
# Specify IP address pool for dynamic assigment.
        set ipcp ranges 192.168.77.106/32 ippool pool1
        set ipcp dns 192.168.77.106
        #set ipcp nbns 192.168.1.4
# The five lines below enable Microsoft Point-to-Point encryption
# (MPPE) using the ng_mppc(8) netgraph node type.
        set bundle enable compression
        set ccp yes mppc
        set mppc yes e40
        set mppc yes e128
        set mppc yes stateless

# Create clonable link template named L
        create link template LL l2tp
# Set bundle template to use
        set link action bundle BL
# Multilink adds some overhead, but gives full 1500 MTU.
        set link enable multilink
        set link yes acfcomp protocomp
        set link no pap chap eap
        set link enable chap
        set link keep-alive 10 60
# We reducing link mtu to avoid GRE packet fragmentation.
        set link mtu 1460
# Configure PPTP
        set l2tp self bge0
# Allow to accept calls
        set link enable incoming
RC.CONF

Код: Выделить всё

#VPN
mpd_enable="YES"
ipsec_enable="YES"
ipsec_program="/usr/local/sbin/setkey"
ipsec_file="/usr/local/etc/racoon/setkey.conf"
racoon_enable="YES"
racoon_flags="-l /var/log/racoon.log"
Не работает...при попытке подключения в логе racoon

Код: Выделить всё

2014-01-02 13:07:58: INFO: respond new phase 1 negotiation: 192.168.77.106[500]<=>217.66.152.66[34668]
2014-01-02 13:07:58: INFO: begin Identity Protection mode.
2014-01-02 13:07:58: INFO: received Vendor ID: RFC 3947
2014-01-02 13:07:58: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
2014-01-02 13:07:58: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02

2014-01-02 13:07:58: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-00
2014-01-02 13:07:58: INFO: received broken Microsoft ID: FRAGMENTATION
2014-01-02 13:07:58: INFO: received Vendor ID: DPD
2014-01-02 13:07:58: [217.66.152.66] INFO: Selected NAT-T version: RFC 3947
2014-01-02 13:07:58: [192.168.77.106] INFO: Hashing 192.168.77.106[500] with algo #2
2014-01-02 13:07:58: INFO: NAT-D payload #0 doesn't match
2014-01-02 13:07:58: [217.66.152.66] INFO: Hashing 217.66.152.66[34668] with algo #2
2014-01-02 13:07:58: INFO: NAT-D payload #1 doesn't match
2014-01-02 13:07:58: INFO: NAT detected: ME PEER
2014-01-02 13:07:58: [217.66.152.66] INFO: Hashing 217.66.152.66[34668] with algo #2
2014-01-02 13:07:58: [192.168.77.106] INFO: Hashing 192.168.77.106[500] with algo #2
2014-01-02 13:07:58: INFO: Adding remote and local NAT-D payloads.
2014-01-02 13:07:58: INFO: NAT-T: ports changed to: 217.66.152.66[8968]<->192.168.77.106[4500]
2014-01-02 13:07:58: INFO: KA list add: 192.168.77.106[4500]->217.66.152.66[8968]
2014-01-02 13:07:58: INFO: ISAKMP-SA established 192.168.77.106[4500]-217.66.152.66[8968] spi:96998d8d0b88141c:b45e565a032099fe
2014-01-02 13:07:58: [217.66.152.66] INFO: received INITIAL-CONTACT
2014-01-02 13:07:59: INFO: respond new phase 2 negotiation: 192.168.77.106[4500]<=>217.66.152.66[8968]
2014-01-02 13:07:59: INFO: Adjusting my encmode UDP-Transport->Transport
2014-01-02 13:07:59: INFO: Adjusting peer's encmode UDP-Transport(4)->Transport(2)
2014-01-02 13:07:59: INFO: IPsec-SA established: ESP/Transport 192.168.77.106[500]->217.66.152.66[500] spi=43326496(0x2951c20)
2014-01-02 13:07:59: INFO: IPsec-SA established: ESP/Transport 192.168.77.106[500]->217.66.152.66[500] spi=162994263(0x9b71857)
2014-01-02 13:09:28: [217.66.152.66] INFO: DPD: remote (ISAKMP-SA spi=96998d8d0b88141c:b45e565a032099fe) seems to be dead.
2014-01-02 13:09:28: INFO: purging ISAKMP-SA spi=96998d8d0b88141c:b45e565a032099fe.
2014-01-02 13:09:28: INFO: purged IPsec-SA spi=162994263.
2014-01-02 13:09:28: INFO: purged IPsec-SA spi=43326496.
2014-01-02 13:09:28: INFO: purged ISAKMP-SA spi=96998d8d0b88141c:b45e565a032099fe.
2014-01-02 13:09:28: INFO: ISAKMP-SA deleted 192.168.77.106[4500]-217.66.152.66[8968] spi:96998d8d0b88141c:b45e565a032099fe
2014-01-02 13:09:28: INFO: KA remove: 192.168.77.106[4500]->217.66.152.66[8968]
в логе mpd тишина....
без IPsec l2tp работает без проблем.
Подскажите ЧЯДНТ? заранее благодарен!!!! :smile:
атсыпте man'офф.только их курю