Кирилл Кулаков Posted June 28, 2021 Posted June 28, 2021 Всем привет! Хочу на своем kinetic lite 3 (2.15.C.0-1) (сервер) реализовать туннель до домашней сети для клиентов. С горем по полам заставил туннель подниматься, но в нем ничего не пингуется, и в списке сетей на Ubuntu (клиент) новых интерфейсов не появляется. С телефона подключаюсь через VPN IPsec, а вот с компа через VPN L2TP/IPsec нет. ХЗ какой из них лучше использовать под эти задачи. Конфигурация keenetic keyingtries = 1 margintime = 20s rekeyfuzz = 100% lifebytes = 21474836480 closeaction = none leftupdown = /tmp/ipsec/charon.left.updown rightupdown = /tmp/ipsec/charon.right.updown ike = 3des-sha1-modp1024,3des-sha1-modp768,3des-sha1-ecp384,3des-sha1-ecp256,3des-sha1-modp2048,3des-md5-modp1024,3des-md5-modp768,3des-md5-ecp384,3des-md5-ecp256,3des-md5-modp2048,des-sha1-modp1024,des-sha1-modp768,des-sha1-ecp384,des-sha1-ecp256,des-sha1-modp2048,des-md5-modp1024,des-md5-modp768,des-md5-ecp384,des-md5-ecp256,des-md5-modp2048,aes128-sha1-modp1024,aes128-sha1-modp768,aes128-sha1-ecp384,aes128-sha1-ecp256,aes128-sha1-modp2048,aes128-md5-modp1024,aes128-md5-modp768,aes128-md5-ecp384,aes128-md5-ecp256,aes128-md5-modp2048,aes256-sha1-modp1024,aes256-sha1-modp768,aes256-sha1-ecp384,aes256-sha1-ecp256,aes256-sha1-modp2048,aes256-md5-modp1024,aes256-md5-modp768,aes256-md5-ecp384,aes256-md5-ecp256,aes256-md5-modp2048! ikelifetime = 28800s keyexchange = ikev1 esp = aes128-sha1,aes128-md5,3des-sha1,3des-md5,des-sha1,des-md5! lifetime = 28800s dpdaction = clear dpddelay = 20s dpdtimeout = 80s leftid = 0.0.0.0 leftauth = psk rightid = %any rightauth = psk type = transport left = %any right = %any leftsubnet = 0.0.0.0/0[17/1701-1701] rightsubnet = 0.0.0.0/0[17] auto = add rekey = yes forceencaps = no no_reauth_passive = yes Стандартная - ничего не менял, просто указал PSK ключ и указал использовать подсеть 172.16.3.33 на 4 клиента. Конфиг клиента Ubuntu StrongSwan ipsec.conf # basic configuration config setup # strictcrlpolicy=yes # uniqueids = no # Add connections here. # Sample VPN connections conn myvpn ike=aes256-md5-modp2048! esp=aes128-sha1! keyexchange=ikev1 left=%any auto=add authby=psk type=transport leftprotoport=17/1701 rightprotoport=17/1701 right=ip_do_keentic rightid=%any leftid=172.16.3.34 leftauth=psk rightauth=psk leftsubnet = 0.0.0.0/0 rightsubnet = 0.0.0.0/0 sudo ipsec status Security Associations (1 up, 0 connecting): myvpn[2]: ESTABLISHED 80 minutes ago, 192.168.1.62[172.16.3.34]...ip.do.keenetic[ip.do.keenetic] myvpn{4}: INSTALLED, TRANSPORT, reqid 2, ESP in UDP SPIs: c943176b_i c906143f0f_o myvpn{4}: 192.168.1.62/32[udp/l2f] === ip.do.keenetic/32[udp/l2f] Туннель видимо создается, но как внутрь его трафик заворачивать ХЗ. Секреты тоже все настроены. options.l2tpd.client ipcp-accept-local ipcp-accept-remote refuse-eap require-mschap-v2 noccp noauth #idle 1800 mtu 1460 mru 1460 #defaultroute usepeerdns lock persist maxfail 10 holdoff 15 #интервал между подключениями connect-delay 5000 name My_user password my_password Quote
1 Werld Posted June 28, 2021 Posted June 28, 2021 У вас ubuntu - это сервер за которым сеть и вы хотите эту сеть связать с сетью за keenetic, или это одиночный ПК, по сценарию roadwarrior? Если первое, то лучше использовать чистый ipsec в туннельном режиме, трафик до нужных сетей заворачивается политиками. Если у вас второй вариант и это просто одиночный пк, то наверняка же на нем есть какой-нибудь из desktop environment'ов, в котором через network-meneger l2tp/ipsec клиент запускается в несколько кликов мышью, зачем пытаться это строить из терминала? Конкретно в вашем случае, судя по всему, строится ipsec но l2tp не поднимается, раз не появляется соответствующего интерфейса. Если по какой-то причине нужно строить из терминала, то я бы предпочел тогда использовать VPN-сервер IPsec (Virtual IP) на кинетике. В таком случае на ubuntu не понадобится дополнительный демон для l2tp, достаточно будет одного strongswan. Можно воспользоваться примерами из официальной wiki по strongswan. Конкретно вам для варианта ipsec сервера c virtual ip и XAUTH аутентификацией подходит вот этот пример: https://www.strongswan.org/testing/testresults5dr/ikev1-stroke/xauth-id-psk-config/ Можно в нем подглядеть конфиги для клиента. 1 Quote
0 Кирилл Кулаков Posted June 28, 2021 Author Posted June 28, 2021 7 hours ago, werldmgn said: У вас ubuntu - это сервер за которым сеть и вы хотите эту сеть связать с сетью за keenetic, или это одиночный ПК, по сценарию roadwarrior? Если первое, то лучше использовать чистый ipsec в туннельном режиме, трафик до нужных сетей заворачивается политиками. Если у вас второй вариант и это просто одиночный пк, то наверняка же на нем есть какой-нибудь из desktop environment'ов, в котором через network-meneger l2tp/ipsec клиент запускается в несколько кликов мышью, зачем пытаться это строить из терминала? Конкретно в вашем случае, судя по всему, строится ipsec но l2tp не поднимается, раз не появляется соответствующего интерфейса. Если по какой-то причине нужно строить из терминала, то я бы предпочел тогда использовать VPN-сервер IPsec (Virtual IP) на кинетике. В таком случае на ubuntu не понадобится дополнительный демон для l2tp, достаточно будет одного strongswan. Можно воспользоваться примерами из официальной wiki по strongswan. Конкретно вам для варианта ipsec сервера c virtual ip и XAUTH аутентификацией подходит вот этот пример: https://www.strongswan.org/testing/testresults5dr/ikev1-stroke/xauth-id-psk-config/ Можно в нем подглядеть конфиги для клиента. Ого, спасибо больше за развернутый ответ) У меня вариант где keenetic это сервер и за ним домашняя есть. А Ubuntu это desktop. Нет острой необходимости делать все через консоль, просто настройка через network-manager падала и не давала информации почему. Даже сейчас когда я разобрался как через консоль сделать тоннель, через gui не подключается. Пишет: скрин приложил А за ссылочки отдельное спасибо, по изучаю. Quote
0 Кирилл Кулаков Posted June 28, 2021 Author Posted June 28, 2021 Спасибо большое! Примеры по ссылке помогли настроить. l2tp/ipsec не стал использовать и все заработало!)) Quote
Question
Кирилл Кулаков
Всем привет!
Хочу на своем kinetic lite 3 (2.15.C.0-1) (сервер) реализовать туннель до домашней сети для клиентов.
С горем по полам заставил туннель подниматься, но в нем ничего не пингуется, и в списке сетей на Ubuntu (клиент) новых интерфейсов не появляется.
С телефона подключаюсь через VPN IPsec, а вот с компа через VPN L2TP/IPsec нет. ХЗ какой из них лучше использовать под эти задачи.
Конфигурация keenetic
Стандартная - ничего не менял, просто указал PSK ключ и указал использовать подсеть 172.16.3.33 на 4 клиента.
Конфиг клиента Ubuntu StrongSwan
ipsec.conf
sudo ipsec status
Security Associations (1 up, 0 connecting): myvpn[2]: ESTABLISHED 80 minutes ago, 192.168.1.62[172.16.3.34]...ip.do.keenetic[ip.do.keenetic] myvpn{4}: INSTALLED, TRANSPORT, reqid 2, ESP in UDP SPIs: c943176b_i c906143f0f_o myvpn{4}: 192.168.1.62/32[udp/l2f] === ip.do.keenetic/32[udp/l2f]Туннель видимо создается, но как внутрь его трафик заворачивать ХЗ.
Секреты тоже все настроены.
options.l2tpd.client
ipcp-accept-local ipcp-accept-remote refuse-eap require-mschap-v2 noccp noauth #idle 1800 mtu 1460 mru 1460 #defaultroute usepeerdns lock persist maxfail 10 holdoff 15 #интервал между подключениями connect-delay 5000 name My_user password my_password3 answers to this question
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.