l2tp via ipsec MK->debian

okoun

ahoj, dokázal by mi někdo poradit jak nakonfigurovat tento tunel? Teoreticky je jedno jaká strana bude server....

děkuji

majklik

Nu, musíš k sobě slepit ppp, l2tp a ipsec. :-) Při vhodné volbě l2tp serveru bude mít ppp v sobě, tak ušetřís babrání se s jednou vrstvu (např l2tpns). Většina l2tp implementací umí jen server část (LNS), nemají podporu klienta (LAC). Klienta umí třeba xl2tpd.

Já používán kombinaci klasického pppd, xl2tpd a strongswan. Ale jen jako server pro mobilní klienty s notebooky/mobily, zásadně ne pro PtP tunely.

IMHO bych to takto nedělal, máš na tom MKču i linuxu veřejnou IP? Pak to pošli přímo IPsec tunelem, pokud chceš přes to posílat tunu segmentů (a nervy by tekly z těch hromad spd pravidel) nebo dynamicky routovat, tak GRE obalený IPsec transportem - to je o dva řády míň práce.

okoun

no na obou stranách jsou veřejky, takže iptunel s ipsec?

majklik

Pak bych šel tou cestou toho IPIP nebo GRE tunelu a obalil to tím IPsec transportem. Tunel se dá nadefinovat i přes /etc/network/interfaces, IPsec si pak k tomu pustíš zvlášť.

Jak ten tunel v linuchu viz zde: http://www.krijnders.net/index.php?page ... interfaces (je tam jen blbě to mtu 1500, pro gre by mělo být 1476, pro gre/IPSec transport 1432, jestli-že původní linka přenese 1500). Pokud místo GRE tunelu chceš použít IPIP, tak se jen místo "mode gre" dáš "mode ipip" (mtu v tom případe 1480 pro ipip a 1436 pro ipip/IPsec). MK stranu asi uklikat zvládneš.

okoun

jo díky, tohle dám ale ten ipsec na tom debianu asi moc ne :(

majklik

Nepropadej depresi, ještě ti nový T-14 nesestřeluje puklice ze sloupů (to až na přesrok, až doladí gyroskopy).... :-)

Jak udělat IPsec tunel v Debianu máš popsáno zde: https://wiki.debian.org/IPsec

Pokud chceš posílat mezi sebou jeden blok/něco z jedné a jiný blok/něco na druhé straně, tak můžeš použít jen holý IPsec tunel dle toho postupu a neprznit to ještě tím IPIP/GRE.

Pokud trváš na tom IPIP tunelu a ten pak obalit IPSec transportem, tak se to jen modifiluje o to, že místo "esp/tunnel/IP1-IP1/require;" se použije "esp/transport/require;" a všude s epracuje jen s IP adrsa těch konců tunelů.

Takže naslepo, pokud linux je konec tunelu IP1 a MKčko IP2.

/etc/racoon/racoon.conf

path pre_shared_key "/etc/racoon/psk.txt";

listen {

isakmp IP1 [500];

}

remote IP2 {

exchange_mode main;

initial_contact on;

lifetime time 24 hour;

proposal_check strict;

proposal {

encryption_algorithm 3des;

hash_algorithm sha1;

authentication_method pre_shared_key;

dh_group 2;

peers_identifier address IP2;

my_identifier address IP1;

dpd_delay 10;

}

sainfo address IP1 ipencap address IP2 ipencap {

pfs_group 2;

lifetime time 1 hour ;

encryption_algorithm 3des;

authentication_algorithm hmac_sha1;

compression_algorithm none;

}

/etc/ipsec-tools.conf

flush;

spdflush;

spdadd IP1 IP2 ipencap -P out ipsec

esp/transport//require;

spdadd IP2 IP1 ipencap -P in ipsec

esp/transport//require;

Toto by mělo IPsec transport přilepit jen na IPIP tunel (ipencap). Ostatní viz ten odkaz nahoře.