l2tp + ipsec
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- CTOPMbI4
- прапорщик
- Сообщения: 482
- Зарегистрирован: 2008-05-02 20:20:47
- Откуда: Made in Russia
l2tp + ipsec
Приветствую коллеги.
появилась задача организовать туннель по l2tp между 2мя роутерами на FreeBSD
поднял mpd5 с одной стороны сервер с другой клиент.
все поднялось работает на ура.
теперь хотелось бы траффик зашифровать. Погуглил нашел вариант через ipsec.нашел тут же .
http://www.lissyara.su/articles/freebsd ... ty/ipsec2/
Для подключения ipsec нужно пересобрать ядро.
1.Если ли возможность включить поддержку ipsec в систему без ее пересборки?
2. Какие есть еще варианты зашифровать трафик l2tp?
появилась задача организовать туннель по l2tp между 2мя роутерами на FreeBSD
поднял mpd5 с одной стороны сервер с другой клиент.
все поднялось работает на ура.
теперь хотелось бы траффик зашифровать. Погуглил нашел вариант через ipsec.нашел тут же .
http://www.lissyara.su/articles/freebsd ... ty/ipsec2/
Для подключения ipsec нужно пересобрать ядро.
1.Если ли возможность включить поддержку ipsec в систему без ее пересборки?
2. Какие есть еще варианты зашифровать трафик l2tp?
Это почти неподвижности мука
Мчаться куда то со скоростью звука,
зная преакрасно, что есть уже где то
Некто
Летящий
Со скорости
Света!
Мчаться куда то со скоростью звука,
зная преакрасно, что есть уже где то
Некто
Летящий
Со скорости
Света!
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Re: l2tp + ipsec
А откуда вы знаете. что ваш трафик между сетями(не роутерами) не шифрован...
Если у вас вас фря выше 7.0, то грузите нужные вам модули через /boot/loaser.conf...
Если у вас вас фря выше 7.0, то грузите нужные вам модули через /boot/loaser.conf...
- CTOPMbI4
- прапорщик
- Сообщения: 482
- Зарегистрирован: 2008-05-02 20:20:47
- Откуда: Made in Russia
Re: l2tp + ipsec
как я понимаю l2tp в чистом виде не шифрован.snorlov писал(а):А откуда вы знаете. что ваш трафик между сетями(не роутерами) не шифрован...
Если у вас вас фря выше 7.0, то грузите нужные вам модули через /boot/loaser.conf...
версия FreeBSD 9.1 Release
Сервант боевой и компилить ядро не хочется. Да и ребутать его лишний раз.
Вопрос возможно ли загрузить модулем поддержку IP-SEC?
Это почти неподвижности мука
Мчаться куда то со скоростью звука,
зная преакрасно, что есть уже где то
Некто
Летящий
Со скорости
Света!
Мчаться куда то со скоростью звука,
зная преакрасно, что есть уже где то
Некто
Летящий
Со скорости
Света!
-
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Re: l2tp + ipsec
Ошибся, надо компилять ядро, точнее netinet... Так а в чем дело, вы же будете компилять и устанавливать только ядро, и mergemaster запускать не надо...CTOPMbI4 писал(а): версия FreeBSD 9.1 Release
Сервант боевой и компилить ядро не хочется. Да и ребутать его лишний раз.
Вопрос возможно ли загрузить модулем поддержку IP-SEC?
- CTOPMbI4
- прапорщик
- Сообщения: 482
- Зарегистрирован: 2008-05-02 20:20:47
- Откуда: Made in Russia
Re: l2tp + ipsec
понятно без пересборки не получится.
На машине есть клиенты. резерва нет. еще и стоит в другом городе.
а другие варианты есть для шифрования трафика l2tp (mpd)?
На машине есть клиенты. резерва нет. еще и стоит в другом городе.
а другие варианты есть для шифрования трафика l2tp (mpd)?
Это почти неподвижности мука
Мчаться куда то со скоростью звука,
зная преакрасно, что есть уже где то
Некто
Летящий
Со скорости
Света!
Мчаться куда то со скоростью звука,
зная преакрасно, что есть уже где то
Некто
Летящий
Со скорости
Света!
-
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Re: l2tp + ipsec
Почему вы зациклились то на l2tp, mpd позволяет задействовать и другие протоколы, например pppoe.
- CTOPMbI4
- прапорщик
- Сообщения: 482
- Зарегистрирован: 2008-05-02 20:20:47
- Откуда: Made in Russia
Re: l2tp + ipsec
Не подскажите как мне передать PADI пакет через ip сеть?snorlov писал(а):Почему вы зациклились то на l2tp, mpd позволяет задействовать и другие протоколы, например pppoe.
Это почти неподвижности мука
Мчаться куда то со скоростью звука,
зная преакрасно, что есть уже где то
Некто
Летящий
Со скорости
Света!
Мчаться куда то со скоростью звука,
зная преакрасно, что есть уже где то
Некто
Летящий
Со скорости
Света!
-
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Re: l2tp + ipsec
Простите, но ???CTOPMbI4 писал(а):Не подскажите как мне передать PADI пакет через ip сеть?snorlov писал(а):Почему вы зациклились то на l2tp, mpd позволяет задействовать и другие протоколы, например pppoe.
Может у меня что-то с головой....
- CTOPMbI4
- прапорщик
- Сообщения: 482
- Зарегистрирован: 2008-05-02 20:20:47
- Откуда: Made in Russia
Re: l2tp + ipsec
Вы же понимаете как работает pppoe.
так как на счет других вариантов шифрования трафика l2tp (mpd)
так как на счет других вариантов шифрования трафика l2tp (mpd)
Это почти неподвижности мука
Мчаться куда то со скоростью звука,
зная преакрасно, что есть уже где то
Некто
Летящий
Со скорости
Света!
Мчаться куда то со скоростью звука,
зная преакрасно, что есть уже где то
Некто
Летящий
Со скорости
Света!
-
- сержант
- Сообщения: 254
- Зарегистрирован: 2013-08-10 14:28:38
- Контактная информация:
Re: l2tp + ipsec
Если туннель устанавливается между двумя серверами, то чем не угодил openvpn с нативным 2048-битным шифрованием?
- CTOPMbI4
- прапорщик
- Сообщения: 482
- Зарегистрирован: 2008-05-02 20:20:47
- Откуда: Made in Russia
Re: l2tp + ipsec
OpenVPN конечно вариант. но хотелось без накручивание лишнего. по средствам того же mpd все реализовать, хотя так то работает l2tp но как то без шифрования напрягает.
Это почти неподвижности мука
Мчаться куда то со скоростью звука,
зная преакрасно, что есть уже где то
Некто
Летящий
Со скорости
Света!
Мчаться куда то со скоростью звука,
зная преакрасно, что есть уже где то
Некто
Летящий
Со скорости
Света!
-
- сержант
- Сообщения: 187
- Зарегистрирован: 2008-02-04 19:40:49
- Откуда: г. Мирный Арх.обл (который Космодром Плесецк)
- Контактная информация:
Re: l2tp + ipsec
Здравствуйте!
Да бы не флудить не стал создавать отдельную тему. Нуждаюсь в совете знатоков.
На домашнем "сервере" поднимаю VPN l2tp/ipsec для клиентов под Win, iOS , Android.
Интернет через модем, NAT. Для ipsec - racoon, для l2tp - mpd.
Конфиги:
KERNEL
RACOON
SETKEY.CONF
MPD (секцию startup не привожу)
RC.CONF
Не работает...при попытке подключения в логе racoon
в логе mpd тишина....
без IPsec l2tp работает без проблем.
Подскажите ЧЯДНТ? заранее благодарен!!!!
Да бы не флудить не стал создавать отдельную тему. Нуждаюсь в совете знатоков.
На домашнем "сервере" поднимаю VPN l2tp/ipsec для клиентов под Win, iOS , Android.
Интернет через модем, NAT. Для ipsec - racoon, для l2tp - mpd.
Конфиги:
KERNEL
Код: Выделить всё
#IPSec
options IPSEC
options IPSEC_NAT_T
options IPSEC_FILTERTUNNEL
device crypto
device enc
Код: Выделить всё
path pre_shared_key "/usr/local/etc/racoon/psk.txt";
listen
{
# REPLACE w.x.y.z with the IP address racoon will listen on (if NAT translated, this is the INSIDE IP)
isakmp 192.168.77.106 [500];
isakmp_natt 192.168.77.106 [4500];
strict_address;
}
remote anonymous
{
exchange_mode main;
passive on;
proposal_check obey;
support_proxy on;
nat_traversal on;
ike_frag on;
dpd_delay 20;
proposal
{
encryption_algorithm aes;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group modp1024;
}
proposal
{
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group modp1024;
}
}
sainfo anonymous
{
encryption_algorithm aes,3des;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
pfs_group modp1024;
}
Код: Выделить всё
flush;
spdflush;
spdadd 0.0.0.0/0[0] 0.0.0.0/0[1701] udp -P in ipsec esp/transport//require;
spdadd 0.0.0.0/0[1701] 0.0.0.0/0[0] udp -P out ipsec esp/transport//require;
MPD (секцию startup не привожу)
Код: Выделить всё
default:
load l2tp_server
l2tp_server:
# Define dynamic IP address pool.
set ippool add pool1 192.168.77.200 192.168.77.210
# Create clonable bundle template named B
create bundle template BL
set iface enable proxy-arp
set iface idle 0
set iface enable tcpmssfix
set ipcp yes vjcomp
# Specify IP address pool for dynamic assigment.
set ipcp ranges 192.168.77.106/32 ippool pool1
set ipcp dns 192.168.77.106
#set ipcp nbns 192.168.1.4
# The five lines below enable Microsoft Point-to-Point encryption
# (MPPE) using the ng_mppc(8) netgraph node type.
set bundle enable compression
set ccp yes mppc
set mppc yes e40
set mppc yes e128
set mppc yes stateless
# Create clonable link template named L
create link template LL l2tp
# Set bundle template to use
set link action bundle BL
# Multilink adds some overhead, but gives full 1500 MTU.
set link enable multilink
set link yes acfcomp protocomp
set link no pap chap eap
set link enable chap
set link keep-alive 10 60
# We reducing link mtu to avoid GRE packet fragmentation.
set link mtu 1460
# Configure PPTP
set l2tp self bge0
# Allow to accept calls
set link enable incoming
Код: Выделить всё
#VPN
mpd_enable="YES"
ipsec_enable="YES"
ipsec_program="/usr/local/sbin/setkey"
ipsec_file="/usr/local/etc/racoon/setkey.conf"
racoon_enable="YES"
racoon_flags="-l /var/log/racoon.log"
Код: Выделить всё
2014-01-02 13:07:58: INFO: respond new phase 1 negotiation: 192.168.77.106[500]<=>217.66.152.66[34668]
2014-01-02 13:07:58: INFO: begin Identity Protection mode.
2014-01-02 13:07:58: INFO: received Vendor ID: RFC 3947
2014-01-02 13:07:58: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
2014-01-02 13:07:58: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
2014-01-02 13:07:58: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-00
2014-01-02 13:07:58: INFO: received broken Microsoft ID: FRAGMENTATION
2014-01-02 13:07:58: INFO: received Vendor ID: DPD
2014-01-02 13:07:58: [217.66.152.66] INFO: Selected NAT-T version: RFC 3947
2014-01-02 13:07:58: [192.168.77.106] INFO: Hashing 192.168.77.106[500] with algo #2
2014-01-02 13:07:58: INFO: NAT-D payload #0 doesn't match
2014-01-02 13:07:58: [217.66.152.66] INFO: Hashing 217.66.152.66[34668] with algo #2
2014-01-02 13:07:58: INFO: NAT-D payload #1 doesn't match
2014-01-02 13:07:58: INFO: NAT detected: ME PEER
2014-01-02 13:07:58: [217.66.152.66] INFO: Hashing 217.66.152.66[34668] with algo #2
2014-01-02 13:07:58: [192.168.77.106] INFO: Hashing 192.168.77.106[500] with algo #2
2014-01-02 13:07:58: INFO: Adding remote and local NAT-D payloads.
2014-01-02 13:07:58: INFO: NAT-T: ports changed to: 217.66.152.66[8968]<->192.168.77.106[4500]
2014-01-02 13:07:58: INFO: KA list add: 192.168.77.106[4500]->217.66.152.66[8968]
2014-01-02 13:07:58: INFO: ISAKMP-SA established 192.168.77.106[4500]-217.66.152.66[8968] spi:96998d8d0b88141c:b45e565a032099fe
2014-01-02 13:07:58: [217.66.152.66] INFO: received INITIAL-CONTACT
2014-01-02 13:07:59: INFO: respond new phase 2 negotiation: 192.168.77.106[4500]<=>217.66.152.66[8968]
2014-01-02 13:07:59: INFO: Adjusting my encmode UDP-Transport->Transport
2014-01-02 13:07:59: INFO: Adjusting peer's encmode UDP-Transport(4)->Transport(2)
2014-01-02 13:07:59: INFO: IPsec-SA established: ESP/Transport 192.168.77.106[500]->217.66.152.66[500] spi=43326496(0x2951c20)
2014-01-02 13:07:59: INFO: IPsec-SA established: ESP/Transport 192.168.77.106[500]->217.66.152.66[500] spi=162994263(0x9b71857)
2014-01-02 13:09:28: [217.66.152.66] INFO: DPD: remote (ISAKMP-SA spi=96998d8d0b88141c:b45e565a032099fe) seems to be dead.
2014-01-02 13:09:28: INFO: purging ISAKMP-SA spi=96998d8d0b88141c:b45e565a032099fe.
2014-01-02 13:09:28: INFO: purged IPsec-SA spi=162994263.
2014-01-02 13:09:28: INFO: purged IPsec-SA spi=43326496.
2014-01-02 13:09:28: INFO: purged ISAKMP-SA spi=96998d8d0b88141c:b45e565a032099fe.
2014-01-02 13:09:28: INFO: ISAKMP-SA deleted 192.168.77.106[4500]-217.66.152.66[8968] spi:96998d8d0b88141c:b45e565a032099fe
2014-01-02 13:09:28: INFO: KA remove: 192.168.77.106[4500]->217.66.152.66[8968]
без IPsec l2tp работает без проблем.
Подскажите ЧЯДНТ? заранее благодарен!!!!
атсыпте man'офф.только их курю