Страница 1 из 1
Клиент FreeBSD + Сервер M$ TMG = ??
Добавлено: 2011-02-09 13:14:30
Basilio
Добрый день.
Необходимо поднять туннель,
с моей стороны - FreeBSD, с противоположной - Microsoft Forefront Threat Management Gateway, который умеет PPTP, L2TP/IPsec.
Мне выданы реквизиты:
Адрес TMG Сервера
Имя пользователя
Домен
Пароль
Предварительный ключ
Вопрос: каким софтом со стороны FreeBSD можно подключить туннель на это чудо?
Re: Клиент FreeBSD + Сервер M$ TMG = ??
Добавлено: 2011-02-09 13:38:03
Electronik
mpd,poptop
Re: Клиент FreeBSD + Сервер M$ TMG = ??
Добавлено: 2011-02-09 14:14:09
Basilio
поставил mpd5 из портов (FreeBSD 7.3)
как сервер mpd настраивал ...
как клиент - что-то не пойму.
Можно примерную инструкцию, рабочую?
А то с утра гуглю, ничего не взлетело пока ...
Re: Клиент FreeBSD + Сервер M$ TMG = ??
Добавлено: 2011-02-09 14:23:21
Electronik
Re: Клиент FreeBSD + Сервер M$ TMG = ??
Добавлено: 2011-02-09 15:21:48
Basilio
>/mpd5_l2tp_client/
===========
попробовал по ссылке, не взлетело.
Обращаюсь к "серверу", мне говорят - только IPSEC в мою сторону могут дать.
В инструкции по ссылке про IPSEC нет ни слова.
Куда копать?
Re: Клиент FreeBSD + Сервер M$ TMG = ??
Добавлено: 2011-02-09 15:41:00
manefesto
ppp + poptop
Re: Клиент FreeBSD + Сервер M$ TMG = ??
Добавлено: 2011-02-09 15:43:21
Basilio
>> мне говорят - только IPSEC в мою сторону могут дать
> ppp + poptop
=======
IPSEC? точно?
Re: Клиент FreeBSD + Сервер M$ TMG = ??
Добавлено: 2011-02-09 16:15:45
ski
Basilio писал(а):поставил mpd5 из портов (FreeBSD 7.3)
как сервер mpd настраивал ...
как клиент - что-то не пойму.
Можно примерную инструкцию, рабочую?
А то с утра гуглю, ничего не взлетело пока ...
load pptp_client в начале конфига.
В самой секции только имя пользователя, пароль и адрес точки доступа поправить.
Re: Клиент FreeBSD + Сервер M$ TMG = ??
Добавлено: 2011-02-09 16:21:57
Basilio
> load pptp_client в начале конфига
=======
Админ сервера мне уже сообщил, что PPTP от меня не примет.
Только IPSec.
mpd как я понимаю. отпадает.
Какие еще мысли?
Re: Клиент FreeBSD + Сервер M$ TMG = ??
Добавлено: 2011-02-09 17:25:37
Electronik
Извините мы тут что Вам тест здаём на лучшую идею?
поиск для кого?
http://www.lissyara.su/?domains=www.lis ... 3A11&hl=ru
Re: Клиент FreeBSD + Сервер M$ TMG = ??
Добавлено: 2011-02-09 17:39:02
Basilio
> поиск для кого?
=======
гуглю вторые сутки, ничего не взлетает.
Хочется не просто "теория ipsec",
а чуть ближе к "практике", ipsec на MS TMG ...
Спасибо, и эти статьи попробую ...
Re: Клиент FreeBSD + Сервер M$ TMG = ??
Добавлено: 2011-02-09 18:38:40
Electronik
маловероятно что Вы найдёте такое пошаговое How To, т.к в основном делаю всё на M$ либо на *nix'ах, ну +/-.
чем Вас не устроила это статья
http://www.lissyara.su/archive/ipsec/ ?
Re: Клиент FreeBSD + Сервер M$ TMG = ??
Добавлено: 2011-02-09 18:56:41
Basilio
ок, завтра попробую ...
з.ы.
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
tunnel inet 217.15.62.49 --> 217.15.62.200
inet 192.168.160.254 --> 192.168.170.254 netmask 0xffffffff
Ну никак у меня не получается ни при каких статьях/экспериментах
2 строчки в gif интерфейсе ...
все время только одна
вида
gif0: flags=8011<UP,POINTOPOINT,MULTICAST> metric 0 mtu 1280
inet 192.168.1.0 --> 192.168.2.0 netmask 0xfffffe00
options=1<ACCEPT_REV_ETHIP_VER>
Re: Клиент FreeBSD + Сервер M$ TMG = ??
Добавлено: 2011-02-09 20:21:20
Electronik
ну что бы ответить на Ваш вопрос, хотелось бы узнать что и как Вы делали.
Re: Клиент FreeBSD + Сервер M$ TMG = ??
Добавлено: 2011-02-09 21:15:30
Basilio
например, делал так:
http://www.freebsd.org/doc/en_US.ISO885 ... ipsec.html
Шел по пунктам,
строчку
gif0: flags=8051 mtu 1280
tunnel inet 172.16.5.4 --> 192.168.1.12
inet6 fe80::2e0:81ff:fe02:5881%gif0 prefixlen 64 scopeid 0x6
inet 10.246.38.1 --> 10.0.0.5 netmask 0xffffff00
Не получил ...
потом делал так:
http://www.opennet.ru/opennews/art.shtml?num=1935
... аналогично. только одна строчка в интерфейсе ...
з.ы. 8.1 Релиз, свежеустановленный ...
Re: Клиент FreeBSD + Сервер M$ TMG = ??
Добавлено: 2011-02-13 0:05:42
_vadim64
Код: Выделить всё
cat -n /etc/rc.conf
22 gif_interfaces="tmg"
23 gifconfig_tmg="217.15.62.49 217.15.62.200"
24 ifconfig_tun404130="inet 172.16.0.1 172.16.1.1 netmask 0xffffffff"
217.15.62.49 - ypur wan ip
172.16.0.1 - ypu local ip
завести без перезагрузки - /etc/netstart &
Re: Клиент FreeBSD + Сервер M$ TMG = ??
Добавлено: 2011-02-13 0:06:44
_vadim64
пиать!
sed s/tun404130/tmg/
Re: Клиент FreeBSD + Сервер M$ TMG = ??
Добавлено: 2011-02-15 16:01:40
Basilio
Короче - домучал ... взлетел туннель.
Конфиги выложу чуть позже.
Всем спасибо.
з.ы. в рекомендованной выше статье
http://www.lissyara.su/archive/ipsec/ - ошибка.
Re: Клиент FreeBSD + Сервер M$ TMG = ??
Добавлено: 2011-02-18 14:07:04
Basilio
Не претендую на истину в последней инстанции,
использовал ссылки выше и то, что сам накопал,
в результате конфиги, с которыми заработал туннель:
Дано.
Машина FreeBSD
IP внешний: 11.11.11.11
IP внутренний: 192.168.1.1
Машина MS TMG
IP внешний: 22.22.22.22
IP внутренний: 192.168.2.1
Ставим FreeBSD 8.1 RELEASE
Собираем ядро
Код: Выделить всё
options IPSEC
options IPSEC_NAT_T
options IPSEC_DEBUG
device crypto
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=1000
Ставим ports/security/ipsec-tools, при установке задает вопросы, ничего не меняем.
Правим (если нет, создаем) /usr/local/etc/racoon/racoon.conf
Код: Выделить всё
path include "@sysconfdir_x@/racoon";
path pre_shared_key "/usr/local/etc/racoon/psk.txt";
log debug;
padding
{
maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
}
listen
{
isakmp 11.11.11.11 [500];
}
timer
{
counter 5; # maximum trying count to send.
interval 20 sec; # maximum interval to resend.
persend 1; # the number of packets per send.
phase1 30 sec;
phase2 15 sec;
}
remote 22.22.22.22
{
exchange_mode main;
lifetime time 8 hour;
my_identifier address;
peers_identifier address;
passive off;
generate_policy off;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo anonymous {
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
lifetime time 1 hour ;
compression_algorithm deflate;
}
Правим (если нет, создаем) /usr/local/etc/racoon/psk.txt
Важно: Выставляем права 600 на /usr/local/etc/racoon/psk.txt
Правим /etc/rc.conf
Код: Выделить всё
firewall_enable="YES"
firewall_type="open"
racoon_enable="YES"
cloned_interfaces="gif0"
gif_interfaces="gif0"
gifconfig_gif0="11.11.11.11 22.22.22.22"
ifconfig_gif0="inet 192.168.1.1 netmask 255.255.255.0 192.168.2.1 netmask 255.255.255.0"
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
static_routes="RemoteLan"
route_RemoteLan="192.168.2.0/24 -interface gif0"
router_enable="YES"
router="/sbin/routed"
router_flags="-q"
gateway_enable="YES"
Правим /etc/ipsec.conf
*) см. примечание.
Код: Выделить всё
flush;
spdflush;
#add the policy to the SPD database
spdadd 192.168.1.0/24 192.168.2.0/24 any -P out ipsec esp/tunnel/11.11.11.11-22.22.22.22/require;
spdadd 192.168.2.0/24 192.168.1.0/24 any -P in ipsec esp/tunnel/22.22.22.22-11.11.11.11/require;
Правим /etc/rc.firewall
Код: Выделить всё
case ${firewall_type} in
[Oo][Pp][Ee][Nn])
${fwcmd} -f flush
${fwcmd} add allow ip from any to any via gif0
${fwcmd} add allow udp from 11.11.11.11 to 22.22.22.22 500
${fwcmd} add allow udp from 22.22.22.22 to 11.11.11.11 500
${fwcmd} add allow esp from 11.11.11.11 to 22.22.22.22
${fwcmd} add allow esp from 22.22.22.22 to 11.11.11.11
${fwcmd} add 65000 pass all from any to any
;;
Для чистоты эксперимента перегружаем машину.
Пингуем сетку с той стороны.
Со стороны Виндоус - симметричные настройки (3DES, MD5 и пр.пр., там в окошках ошибиться негде).
Примечание:
в статье
http://www.lissyara.su/archive/ipsec/
написаны IP адреса внешние в обоих секциях, ТАК работать не хотело,
в сети почитал инструкции, написано внутренние-внешние, так и сделал, заработало.
