Установка xl2tpd ipsec

[kostryukov]

Не получается 

Подскажите где ошибки

Делал так:  http://blog.riobard.com/2010/04/30/l2tp-over-ipsec-ubuntu

Настройки мои вот:
/etc/xl2tpd/xl2tpd.conf

(Нажмите, чтобы показать/скрыть)

[global]
ipsec saref = yes

[lns host]
ip range = 10.168.0.50-10.168.0.59
local ip = 192.168.0.1
refuse chap = yes
refuse pap = yes
require authentication = yes
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

/etc/ppp/options.xl2tpd

(Нажмите, чтобы показать/скрыть)

require-mschap-v2
ms-dns 8.8.8.8
ms-dns 8.8.4.4
asyncmap 0
auth
crtscts
lock
hide-password
modem
debug
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4

/etc/ppp/chap-secrets

(Нажмите, чтобы показать/скрыть)

# Secrets for authentication using CHAP
# client        server  secret                  IP addresses
testuser l2tpd passwd *

/etc/ipsec.secrets

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

: RSA /etc/ipsec.d/private/hostKey.pem
192.168.0.1     %any:   PSK     "passwd"

/etc/ipsec.conf

(Нажмите, чтобы показать/скрыть)

version 2.0
config setup
    nat_traversal=yes
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
    oe=off
    protostack=netkey

conn L2TP-PSK-NAT
    rightsubnet=vhost:%priv
    also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
    authby=secret
    pfs=no
    auto=add
    keyingtries=3
    rekey=no
    ikelifetime=8h
    keylife=1h
    type=transport
    left=192.168.0.1
    leftprotoport=17/1701
    right=%any
    rightprotoport=17/%any

sudo ipsec verify

(Нажмите, чтобы показать/скрыть)

Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path                                 [OK]
Linux Openswan U2.6.23/K2.6.32-21-generic (netkey)
Checking for IPsec support in kernel                            [OK]
NETKEY detected, testing for disabled ICMP send_redirects       [OK]
NETKEY detected, testing for disabled ICMP accept_redirects     [OK]
Checking for RSA private key (/etc/ipsec.secrets)               [OK]
Checking that pluto is running                                  [OK]
Pluto listening for IKE on udp 500                              [OK]
Pluto listening for NAT-T on udp 4500                           [OK]
Two or more interfaces found, checking IP forwarding            [OK]
Checking NAT and MASQUERADEing
Checking for 'ip' command                                       [OK]
Checking for 'iptables' command                                 [OK]
Opportunistic Encryption Support                                [DISABLED]

В WinXP создаю подключение, l2tp

запускаю на сервере xl2tp -D и вижу:

~$ sudo xl2tpd -D

(Нажмите, чтобы показать/скрыть)

xl2tpd[10107]: Enabling IPsec SAref processing for L2TP transport mode SAs
xl2tpd[10107]: IPsec SAref does not work with L2TP kernel mode yet, enabling forceuserspace=yes
xl2tpd[10107]: setsockopt recvref[22]: Protocol not available
xl2tpd[10107]: This binary does not support kernel L2TP.
xl2tpd[10107]: xl2tpd version xl2tpd-1.2.5 started on host PID:10107
xl2tpd[10107]: Written by Mark Spencer, Copyright (C) 1998, Adtran, Inc.
xl2tpd[10107]: Forked by Scott Balmos and David Stipp, (C) 2001
xl2tpd[10107]: Inherited by Jeff McAdams, (C) 2002
xl2tpd[10107]: Forked again by Xelerance (www.xelerance.com) (C) 2006
xl2tpd[10107]: Listening on IP address 0.0.0.0, port 1701
xl2tpd[10107]: control_finish: Denied connection to unauthorized peer 192.168.0.31
xl2tpd[10107]: Connection 26 closed to 192.168.0.31, port 1701 (No Authorization)
xl2tpd[10107]: check_control: Received out of order control packet on tunnel -1 (got 1, expected 0)
xl2tpd[10107]: handle_packet: bad control packet!
xl2tpd[10107]: control_finish: Denied connection to unauthorized peer 192.168.0.31
xl2tpd[10107]: Connection 27 closed to 192.168.0.31, port 1701 (No Authorization)
xl2tpd[10107]: check_control: Received out of order control packet on tunnel -1 (got 1, expected 0)
xl2tpd[10107]: handle_packet: bad control packet!
xl2tpd[10107]: Unable to deliver closing message for tunnel 60134. Destroying anyway.
xl2tpd[10107]: Unable to deliver closing message for tunnel 9144. Destroying anyway.

[AnrDaemon]

Ты сам вообще читаешь, что ты пишешь?
прочти свои конфиги, найди две ошибки (я прекратил читать после второй.)
И где спойлеры?

[kostryukov]

тут

Код: [Выделить]

refuse chap = yes
refuse pap = yes
require authentication = yesи

Код: [Выделить]

require-mschap-v2
require-mschap
require-chap?

эти исправил на

(Нажмите, чтобы показать/скрыть)

[global]
ipsec saref = yes
[lns host]
ip range = 10.168.0.50-10.168.0.59
local ip = 192.168.0.1
;require chap = yes
refuse chap = yes
refuse pap = yes
require authentication = yes
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

и

(Нажмите, чтобы показать/скрыть)

require-mschap-v2
ms-dns 8.8.8.8
ms-dns 8.8.4.4
asyncmap 0
auth
crtscts
lock
hide-password
modem
debug
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4

другие к сожалению не вижу, подскажешь ?

п.с. сейчас уберу под спойлеры

[AnrDaemon]

Указание настроек авторизации в конфиге туннельного демона вообще. Просто убери их, у тебя pppd авторизацией занимается.
Использование левых DNS вместо своих. Сомневаюсь, что ты работаешь в гугле.

Без IPSec тоннель работает?

[kostryukov]

Указание настроек авторизации в конфиге туннельного демона вообще. Просто убери их, у тебя pppd авторизацией занимается.
Использование левых DNS вместо своих. Сомневаюсь, что ты работаешь в гугле.

ага, спасибо.

Пользователь решил продолжить мысль 21 Июня 2012, 09:25:23:Туннель заработал, когда указал опцию lac в конфиге /etc/xl2tpd/xl2tpd.conf
т.е. разрешил подключаться с определенного ip
также заработало и с авторизацией по паролю

(Нажмите, чтобы показать/скрыть)

[global]
ipsec saref = yes
[lns host]
ip range = 10.168.0.50-10.168.0.59
local ip = 192.168.0.1
lac = 192.168.0.31
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

(Нажмите, чтобы показать/скрыть)

require-mschap-v2
asyncmap 0
auth
crtscts
lock
hide-password
modem
debug
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4

а как разрешить всем использовать сервер? без указания диапазона/ip lac
мне ведь нужно из интернета подключиться к серверу.

Без IPSec тоннель работает?

туннель сейчас работает, но я не понял, используется ли вообще Ipsec,
останавливаю ipsec(/etc/init.d/ipsec stop), а туннель все равно работает.
и для чего нужен ключ Ipsec (PSK) (это который я указал при установке openswan), если он не используется.
Пользователь решил продолжить мысль 21 Июня 2012, 10:23:06:Так, если я правильно понимаю, то при таких настройках у меня работает с авторизацией ppp, без ipsec

а если я укажу в настройках pppd (/etc/ppp/options.xl2tpd)

Код: [Выделить]

noauth
refuse-chap
refuse-mschap
refuse-mschap-v2т.е. отключу авторизацию ppp, и тем самым предоставлю это ipsec?
но тогда пускает вообще без авторизации, что бы я не менял в подключении
Пользователь решил продолжить мысль 21 Июня 2012, 14:47:00:а вообще схема:

Код: [Выделить]

клиент <-> роутер <-> vpn + провайдер <-> Интернет <-> сервер xl2tpdбудет работать ?

pptpd работает, а вот xl2tp - не могу подключиться.