Popular Post Le ecureuil Posted September 8, 2017 Popular Post Share Posted September 8, 2017 Итак, в ветке 2.11 был реализован L2TP/IPsec сервер. На данный момент его настройка осуществляется только из CLI, потому здесь будет приведен список команд для желающих настроить и попробовать. Конфиг CLI: access-list VPNL2TPIPsecServer permit udp 0.0.0.0 0.0.0.0 port eq 1701 0.0.0.0 0.0.0.0 ! crypto ike key VPNL2TPIPsecServer l2tpipsecvpn any crypto ike proposal VPNL2TPIPsecServer encryption 3des encryption des encryption aes-cbc-128 encryption aes-cbc-256 dh-group 2 dh-group 1 dh-group 14 integrity sha1 integrity md5 ! crypto ike policy VPNL2TPIPsecServer proposal VPNL2TPIPsecServer lifetime 28800 mode ikev1 negotiation-mode main ! crypto ipsec transform-set VPNL2TPIPsecServer cypher esp-aes-128 cypher esp-3des cypher esp-des hmac esp-sha1-hmac hmac esp-md5-hmac lifetime 28800 ! crypto ipsec profile VPNL2TPIPsecServer dpd-interval 30 dpd-clear identity-local address 0.0.0.0 match-identity-remote any authentication-local pre-share mode transport policy VPNL2TPIPsecServer ! crypto map VPNL2TPIPsecServer set-peer any set-profile VPNL2TPIPsecServer set-transform VPNL2TPIPsecServer match-address VPNL2TPIPsecServer set-tcpmss pmtu nail-up no reauth-passive virtual-ip no enable l2tp-server range 172.16.2.33 172.16.2.43 l2tp-server interface Home l2tp-server nat l2tp-server multi-login l2tp-server lcp echo 30 3 l2tp-server enable enable ! При этом "Общий ключ PSK" равен l2tpipsecvpn, настроен пул из 10 адресов, привязка к интерфейсу Home, включен NAT для доступа в Интернет и разрешено несколько подключений для одного и того же пользователя. В целом настройки полностью повторяют функционал стандартного PPTP VPN-сервера. Не забудьте добавить пользователей и установить им тег ipsec-l2tp, чтобы они могли коннектится к серверу! PS: Проверена совместимость с Windows XP, 7, 10, Android, iOS и macOS. Везде использовались стандартные средства. Однако возможны разные странности в работе, поскольку это только первый релиз. Жду self-test'ов и описания ситуации, если что-то не работает. PS2: Да, перед настройкой удалите все настроенные IPsec соединения, иначе могут быть разные глюки. Хотя совместимость с Virtual IP и другими туннелями в теории есть, ее нужно _специально_ готовить. Это все будет учтено в версии, которая будет настраиваться из Web, а пока лучше не рисковать. 3 7 Quote Link to comment Share on other sites More sharing options...
r13 Posted September 9, 2017 Share Posted September 9, 2017 (edited) @Le ecureuil Первый репорт, пока без селфтеста если создать l2tp сервер и он будет единственным ipsec соединением(как вы и рекомендовали) то ipsec служба сама не запускается. Если же есть кроме l2tp еще какое-нибудь ipsec подключение то служба запускается и l2tp сервер становится доступен поверял на start2 По возможности сделаю селф познее. Edited September 9, 2017 by r13 1 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 10, 2017 Author Share Posted September 10, 2017 11 час назад, r13 сказал: @Le ecureuil Первый репорт, пока без селфтеста если создать l2tp сервер и он будет единственным ipsec соединением(как вы и рекомендовали) то ipsec служба сама не запускается. Если же есть кроме l2tp еще какое-нибудь ipsec подключение то служба запускается и l2tp сервер становится доступен поверял на start2 По возможности сделаю селф познее. А service ipsec выполнен? Quote Link to comment Share on other sites More sharing options...
r13 Posted September 10, 2017 Share Posted September 10, 2017 44 минуты назад, Le ecureuil сказал: А service ipsec выполнен? Насильно нет, с некоторых пор же оно само запускается(после того как выключатель из веб пропал) после обеда скину селфтест. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 10, 2017 Author Share Posted September 10, 2017 34 минуты назад, r13 сказал: Насильно нет, с некоторых пор же оно само запускается(после того как выключатель из веб пропал) после обеда скину селфтест. Оно само запускается только для автотуннелей и L2TP/IPsec клиента, в противном случае эта команда обязана быть в конфиге. Просто сейчас Web сам ее шлет без отдельной галки, потому и кажется, что стало "само". Quote Link to comment Share on other sites More sharing options...
r13 Posted September 10, 2017 Share Posted September 10, 2017 35 минут назад, Le ecureuil сказал: Оно само запускается только для автотуннелей и L2TP/IPsec клиента, в противном случае эта команда обязана быть в конфиге. Просто сейчас Web сам ее шлет без отдельной галки, потому и кажется, что стало "само". Ок, ясно. Quote Link to comment Share on other sites More sharing options...
r13 Posted September 10, 2017 Share Posted September 10, 2017 (edited) @Le ecureuil Start2 2.11.A.1.0-0 + ios 10.3.3 Периодически при соединении подобный лог: Скрытый текст Sep 10 19:53:07ipsec 10[CFG] configured proposals: ESP:AES_CBC=256/HMAC_SHA1_96/#/#/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA1_96/#/#/NO_EXT_SEQ Sep 10 19:53:07ipsec 10[CFG] selected proposal: ESP:AES_CBC=256/HMAC_SHA1_96/#/#/NO_EXT_SEQ Sep 10 19:53:07ipsec 10[IKE] received 3600s lifetime, configured 28800s Sep 10 19:53:07ipsec 10[IKE] received 0 lifebytes, configured 21474836480 Sep 10 19:53:07accel-ppp l2tp: new tunnel 30972-9 created following reception of SCCRQ from 192.168.1.34:60470 Sep 10 19:53:07accel-ppp l2tp tunnel 30972-9 (192.168.1.34:60470): impossible to process the send queue: sending packet 0 failed Sep 10 19:53:07accel-ppp l2tp tunnel 30972-9 (192.168.1.34:60470): impossible to send SCCRP: transmitting messages from send queue failed Sep 10 19:53:07ipsec 13[IKE] CHILD_SA VPNL2TPIPsecServer{2} established with SPIs c4a093f2_i 02fc312e_o and TS 192.168.1.104/32[udp/l2tp] === 192.168.1.34/32[udp/60470] Sep 10 19:53:07ndm IpSec::Configurator: crypto map "VPNL2TPIPsecServer" is up. Sep 10 19:53:07ndm IpSec::Configurator: IPsec connection to L2TP/IPsec server from "192.168.1.34" is established. Sep 10 19:53:07ndm IpSec::IpSecNetfilter: start reloading netfilter configuration... Sep 10 19:53:08ndm IpSec::IpSecNetfilter: netfilter configuration reloading is done. Sep 10 19:53:08accel-ppp l2tp: new tunnel 33212-9 created following reception of SCCRQ from 192.168.1.34:60470 Sep 10 19:53:08accel-ppp l2tp tunnel 33212-9 (192.168.1.34:60470): established at 192.168.1.104:1701 Sep 10 19:53:08accel-ppp l2tp tunnel 33212-9 (192.168.1.34:60470): new session 43382-8065 created following reception of ICRQ я так понимаю l2tp запускается раньше поднятия ipsec и получается ошибка: Sep 10 19:53:07accel-ppp l2tp: new tunnel 30972-9 created following reception of SCCRQ from 192.168.1.34:60470 Sep 10 19:53:07accel-ppp l2tp tunnel 30972-9 (192.168.1.34:60470): impossible to process the send queue: sending packet 0 failed Sep 10 19:53:07accel-ppp l2tp tunnel 30972-9 (192.168.1.34:60470): impossible to send SCCRP: transmitting messages from send queue failed Далее l2tp пересоздается и все корректно работает: Sep 10 19:53:08accel-ppp l2tp: new tunnel 33212-9 created following reception of SCCRQ from 192.168.1.34:60470 Sep 10 19:53:08accel-ppp l2tp tunnel 33212-9 (192.168.1.34:60470): established at 192.168.1.104:1701 Sep 10 19:53:08accel-ppp l2tp tunnel 33212-9 (192.168.1.34:60470): new session 43382-8065 created following reception of ICRQ селф далее. Edited September 10, 2017 by r13 1 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 10, 2017 Author Share Posted September 10, 2017 Хорошо, поработаем над этим. Quote Link to comment Share on other sites More sharing options...
r13 Posted September 10, 2017 Share Posted September 10, 2017 2all Iphone не сбрасывает l2tp ipsec туннель при уходе в сон в отличие от подключения посредством virtual-ip, так что есть весомый плюс для перехода на этот тип подключения Quote Link to comment Share on other sites More sharing options...
r13 Posted September 11, 2017 Share Posted September 11, 2017 (edited) @Le ecureuil Feature Request на будущее: привязка ip адресов к клиентам, по аналогии с pptp сервером. UPD: А, все нашел(работает), уже есть оказывается. спасибо. Edited September 11, 2017 by r13 1 Quote Link to comment Share on other sites More sharing options...
Кинетиковод Posted September 11, 2017 Share Posted September 11, 2017 В 08.09.2017 в 18:11, Le ecureuil сказал: включен NAT для доступа в Интернет Дайте конфиг без NAT, чтобы у сервера и клиента были разные внешние ip. По результатам тестирования для младшеньких это лучший VPN. Работает не только лучше обычного IPsec, но и даже лучше PPTP. Перехожу с IPsec Virtual IP на L2TP. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 11, 2017 Author Share Posted September 11, 2017 2 часа назад, Кинетиковод сказал: Дайте конфиг без NAT, чтобы у сервера и клиента были разные внешние ip. По результатам тестирования для младшеньких это лучший VPN. Работает не только лучше обычного IPsec, но и даже лучше PPTP. Перехожу с IPsec Virtual IP на L2TP. >> crypto map VPNL2TPIPsecServer no l2tp-server nat Quote Link to comment Share on other sites More sharing options...
Кинетиковод Posted September 11, 2017 Share Posted September 11, 2017 1 час назад, Le ecureuil сказал: >> crypto map VPNL2TPIPsecServer no l2tp-server nat Не работает. Роутер говорит, что "SNAT is disabled", но клиент всё-равно получает ip сервера. system configuration save не забыл. 1 Quote Link to comment Share on other sites More sharing options...
Кинетиковод Posted September 11, 2017 Share Posted September 11, 2017 Обнаружил странную особенность работы сервера. Каждый раз при подключении клиента, сервер даёт новый адрес на единицу больше, чем было при прошлом подключении, как бы перебирая всё подряд. При этом хоть пул в настройках и задан в диапазоне 172.16.2.33-172.16.2.43 сервер после адреса 43 продолжает выдавать следующие адреса 44, 45 и т.д. Такое ощущение, что сервер не понимает, что клиент уже отключился и освободил адрес и каждое подключение воспринимает, как нового клиента выдавая ему очередной по счёту адрес. После перезагрузки роутера счётчик обнуляется и начинается новый отсчёт с 33 адреса. 1 Quote Link to comment Share on other sites More sharing options...
r13 Posted September 12, 2017 Share Posted September 12, 2017 @Le ecureuil Почему при rekey приходящем с удаленной стороны не сбрасывается счетчик на кинетике? Примеры в селфе 23:32 - 23:43 и 01:42 - 1:54 И еще вопрос, зачем IPSec/L2TP клиент участвует в выборе IPSec на совместимость? Я думал это относится только к "серверам"? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 12, 2017 Author Share Posted September 12, 2017 1 минуту назад, r13 сказал: @Le ecureuil Почему при rekey приходящем с удаленной стороны не сбрасывается счетчик на кинетике? Примеры в селфе 23:32 - 23:43 и 01:42 - 1:54 И еще вопрос, зачем IPSec/L2TP клиент участвует в выборе IPSec на совместимость? Я думал это относится только к "серверам"? Понятие "сервер" и "клиент" в IPsec немного неверное, обе стороны вообще говоря равноправны. Скорее их нужно называть "инициатор" и "ответчик". Именно поэтому в IKEv1 мы не можем сказать, к какому именно соединению пришел ответный IKE-пакет, и это определяется перебором с небольшой эвристикой, которая не всегда правильно (и не всегда может из-за недостатка информации) срабатывает. 1 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 12, 2017 Author Share Posted September 12, 2017 4 минуты назад, r13 сказал: @Le ecureuil Почему при rekey приходящем с удаленной стороны не сбрасывается счетчик на кинетике? Примеры в селфе 23:32 - 23:43 и 01:42 - 1:54 И еще вопрос, зачем IPSec/L2TP клиент участвует в выборе IPSec на совместимость? Я думал это относится только к "серверам"? Какой именно счетчик? Счетчик CHILD_SA в {X}? Так он и не должен. Quote Link to comment Share on other sites More sharing options...
r13 Posted September 12, 2017 Share Posted September 12, 2017 Только что, Le ecureuil сказал: Какой именно счетчик? Счетчик CHILD_SA в {X}? Так он и не должен. Счетчик rekey interval Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 12, 2017 Author Share Posted September 12, 2017 1 минуту назад, r13 сказал: Счетчик rekey interval Серверная сторона настроена так, чтобы не инициировать rekey сама, но отвечает на него. Quote Link to comment Share on other sites More sharing options...
r13 Posted September 12, 2017 Share Posted September 12, 2017 Только что, Le ecureuil сказал: Серверная сторона настроена так, чтобы не инициировать rekey сама, но отвечает на него. В перечисленных мной временных интервалах в время первое это rekey инициированный клиентом(23:32), 2е rekey инициированный сервером через час после соединения 23:43(rekey interval 3600) Или я что то не допонял? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 12, 2017 Author Share Posted September 12, 2017 В 23-44 strongswan обнаруживает, что пора бы инициировать rekey самому, но так как настроен этого не делать, то тупо удаляет устаревшие SA и отправляет об этом отчет другой стороне без инициирования rekey (а новые SA уже есть от rekey в 23-32, потому это происходит безболезненно). Весь rekey и вся реаутентификация управляются полностью пожеланиями инициатора. 1 Quote Link to comment Share on other sites More sharing options...
ICMP Posted September 13, 2017 Share Posted September 13, 2017 А какая тут скорость? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 13, 2017 Author Share Posted September 13, 2017 29 минут назад, ICMP сказал: А какая тут скорость? Померяйте, похвалитесь нам) Quote Link to comment Share on other sites More sharing options...
ICMP Posted September 13, 2017 Share Posted September 13, 2017 Это L3 или все же L2? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 13, 2017 Author Share Posted September 13, 2017 2 часа назад, ICMP сказал: Это L3 или все же L2? L3. Полный аналог PPTP с точки зрения энкапсуляции. Quote Link to comment Share on other sites More sharing options...
T@rkus Posted September 13, 2017 Share Posted September 13, 2017 @Le ecureuil А вэб для L2TP/IPsec сервера будет? 1 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 14, 2017 Author Share Posted September 14, 2017 14 часа назад, T@rkus сказал: @Le ecureuil А вэб для L2TP/IPsec сервера будет? Конечно, сейчас в разработке. 1 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 15, 2017 Author Share Posted September 15, 2017 В 9/12/2017 в 01:45, Кинетиковод сказал: Обнаружил странную особенность работы сервера. Каждый раз при подключении клиента, сервер даёт новый адрес на единицу больше, чем было при прошлом подключении, как бы перебирая всё подряд. При этом хоть пул в настройках и задан в диапазоне 172.16.2.33-172.16.2.43 сервер после адреса 43 продолжает выдавать следующие адреса 44, 45 и т.д. Такое ощущение, что сервер не понимает, что клиент уже отключился и освободил адрес и каждое подключение воспринимает, как нового клиента выдавая ему очередной по счёту адрес. После перезагрузки роутера счётчик обнуляется и начинается новый отсчёт с 33 адреса. Поправлено. 1 1 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 15, 2017 Author Share Posted September 15, 2017 В 9/12/2017 в 00:04, Кинетиковод сказал: Не работает. Роутер говорит, что "SNAT is disabled", но клиент всё-равно получает ip сервера. system configuration save не забыл. Поправлено. Теперь работает. 1 1 Quote Link to comment Share on other sites More sharing options...
MDP Posted September 20, 2017 Share Posted September 20, 2017 В версию 2.10 может добавите L2TP/IPsec сервер ? ...пока 2.10 ещё бета-тестирование проходит? ....нуууу пжжжалуйста Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.