L2TP в двух словах

[Int_20h]

Ребята, кто может в двух словах объяснить порядок всех этих авторизаций при настройке XL2TPD?

Я настраиваю сервер, чтобы он организовывал VPN через L2TP, использую xl2tpd и openswan, как написано в куче мануалов в интернете. Но все они сводятся к нескольким страницам текста без подробных объяснений, общий смысл которых "Делай, как написано и все будет ОК".

Но я пытаюсь установить VPN-соединение из Windows 8.1 и у меня все совсем не OK. Я запутался в этих конфигах. Вот лог l2tpd:

(Нажмите, чтобы показать/скрыть)

Aug 13 22:01:45 srv232 xl2tpd[16197]: network_thread: recv packet from 217.118.78.110, size = 99, tunnel = 0, call = 0 ref=0 refhim=0
Aug 13 22:01:45 srv232 xl2tpd[16197]: get_call: allocating new tunnel for host 217.118.78.110, port 44826.
Aug 13 22:01:45 srv232 xl2tpd[16197]: handle_avps: handling avp's for tunnel 24629, call 0
Aug 13 22:01:45 srv232 xl2tpd[16197]: message_type_avp: message type 1 (Start-Control-Connection-Request)
Aug 13 22:01:45 srv232 xl2tpd[16197]: protocol_version_avp: peer is using version 1, revision 0.
Aug 13 22:01:45 srv232 xl2tpd[16197]: framing_caps_avp: supported peer frames: sync
Aug 13 22:01:45 srv232 xl2tpd[16197]: bearer_caps_avp: supported peer bearers:
Aug 13 22:01:45 srv232 xl2tpd[16197]: firmware_rev_avp: peer reports firmware version 1539 (0x0603)
Aug 13 22:01:45 srv232 xl2tpd[16197]: hostname_avp: peer reports hostname 'VAIO_Z'
Aug 13 22:01:45 srv232 xl2tpd[16197]: vendor_avp: peer reports vendor 'Microsoft'
Aug 13 22:01:45 srv232 xl2tpd[16197]: assigned_tunnel_avp: using peer's tunnel 5
Aug 13 22:01:45 srv232 xl2tpd[16197]: receive_window_size_avp: peer wants RWS of 8.  Will use flow control.
Aug 13 22:01:45 srv232 xl2tpd[16197]: control_finish: message type is Start-Control-Connection-Request(1).  Tunnel is 5, call is 0.
Aug 13 22:01:45 srv232 xl2tpd[16197]: control_finish: Denied connection to unauthorized peer 217.118.78.110
Aug 13 22:01:45 srv232 xl2tpd[16197]: network_thread: bad packet
Aug 13 22:01:45 srv232 xl2tpd[16197]: build_fdset: closing down tunnel 24629
Aug 13 22:01:45 srv232 xl2tpd[16197]: Connection 5 closed to 217.118.78.110, port 44826 (No Authorization)
Aug 13 22:01:45 srv232 xl2tpd[16197]: network_thread: recv packet from 217.118.78.110, size = 12, tunnel = 0, call = 0 ref=0 refhim=0
Aug 13 22:01:45 srv232 xl2tpd[16197]: get_call: allocating new tunnel for host 217.118.78.110, port 44826.
Aug 13 22:01:45 srv232 xl2tpd[16197]: check_control: Received out of order control packet on tunnel -1 (got 1, expected 0)
Aug 13 22:01:45 srv232 xl2tpd[16197]: handle_packet: bad control packet!
Aug 13 22:01:45 srv232 xl2tpd[16197]: network_thread: bad packet
Aug 13 22:01:45 srv232 xl2tpd[16197]: build_fdset: closing down tunnel 41657
Aug 13 22:01:46 srv232 xl2tpd[16197]: network_thread: select timeout
Aug 13 22:01:50 srv232 xl2tpd[16197]: message repeated 4 times: [ network_thread: select timeout]
Aug 13 22:01:50 srv232 xl2tpd[16197]: Unable to deliver closing message for tunnel 24629. Destroying anyway.

Демон говорит: Denied connection to unauthorized peer 217.118.78.110

Но где настраивается эта авторизация??? Windows просит имя пользователя и пароль для подключения, а в настройках /etc/xl2tpd/l2tp-secrets поля "Имя пользователя" нет вообще. Кроме того, есть еще файл /etc/ppp/chap-secrets, а также /etc/ipsec.secrets и /var/lib/openswan/ipsec.secrets.inc (их использует pluto, как я понимаю).

Объясните мне, когда и какой файл с паролями используется. Спасибо.

[AnrDaemon]

ispec.secrets использует openswan для шифрации канала.
l2tp.secrets используется самим L2TP для того же.
chap.secrets используется PPPD для авторизации подключаемых пользователей.

А по поводу вопроса вообще - та же проблема. Все инструкции, которые я нашел - куча воды и ничего по делу. PPTP VPN настроил за один вечер, L2TP второй год не могу настроить.

[Int_20h]

Постепенно разбираюсь. С l2tpd проблема решилась прописыванием следующей строки в конфиге /etc/xl2tpd/xl2tpd.conf:

lac = 1.1.1.1-254.254.254.254

Этой строки не было в мане, которым я пользовался, а она похоже необходима.

Данная строка разрешает подключаться к тоннелю всем IP-адресам. После этого я отключил напрочь авторизацию в xl2tpd, в некоторых руководствах написано, что авторизация на этом уровне не важна, ей будет заниматься pppd.

После этих действий тоннель поднялся, но пока еще не до конца работает. Завтра буду разбираться с pppd и openswan. Если разберусь - помогу и тебе настроить. Спасибо.
Пользователь решил продолжить мысль 13 Августа 2014, 23:03:17:

А по поводу вопроса вообще - та же проблема. Все инструкции, которые я нашел - куча воды и ничего по делу. PPTP VPN настроил за один вечер, L2TP второй год не могу настроить.

Вот с PPTP-то вообще не проблема, я тоже его ставлю моментально, но, вроде как, он менее защищенный, так что хочется настроить более продвинутую версию.

[AnrDaemon]

Тогда уже
lac = 0.0.0.0-255.255.255.255
А то как то несправедливо кучу адресов забыли.

[Int_20h]

Тогда уже
lac = 0.0.0.0-255.255.255.255
А то как то несправедливо кучу адресов забыли.

Согласен.

Жесть какая-то с этим статьями в интернете... У меня ощущение, что мало кто вообще понимает, как это все настраивается, поэтому пишут полную отсебятину, останавливаются на полпути, получая какую-то хрень (недоделанную, но работающую) и успокаиваются. Короче у меня получилось, но при чем тут ipsec я пока не понимаю.

Итак выводы пока следующие:
1. xl2tpd - первый демон с которым начинает взаимодействие подключающийся клиент. Задача этого демона - принять подключение на UDP порт 1701 и передать полученные данные дальше внутрь системы. В целом, больше ничего он делать не должен. Он может авторизовать входящие подключения по паролю/по имени хоста/IP адресу, но обычно это настраивают на следующих этапах, поэтому /etc/xl2tpd/l2tp-secrets должен оставаться пустым (паролей туда прописывать не нужно).
2. В /etc/xl2tpd/xl2tpd.conf есть блок с названием [lns], этот блок описывает конфигурацию сервера xl2tpd. Это как раз тот блок, который нам нужно настраивать. Подробности по настройке хорошо описаны в man xl2tpd.conf. Блок [lac] конфигурационного файла используется, если настраиваемый демон сам будет подключаться к другому серверу. Если вы хотите только принимать входящие подключения этот блок вообще не нужен.
3. Строка lac = 0.0.0.0-255.255.255.255 обязательна, если вы хотите принимать подключения с любых ip-адресов. Возможно в предыдущих версиях она была не нужна, поэтому об этом особо не пишут в манах, но сейчас ее нужно прописывать.
4. Строка "pppoptfile = /etc/ppp/options.l2tpd" в блоке [lns] говорит о том, с какими параметрами будет запущен следующий демон при входящем подключении - pppd. Именно ему передает все данные xl2tpd, если входящее подключение соответствует параметрам, указанным в конфиге.
5. На каждое входящее подключение, соответствующее требованиям, стартует своя копия pppd с параметрами из п. 4. Кстати, подробнее обо всех них читаем в man pppd. Все тоже очень подробно.
6. Учитываем, что старые маны в интернете иногда используют конструкции параметров типа:
-pap
+chap

Эти записи уже давно deprecated. Необходимо использовать refuse-pap, require-chap и т.д.

7. Именно на этапе настройки параметров pppd прописывается авторизация клиента. За нее отвечают инструкции:
auth
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2

Здесь мы запрещаем устаревшие протоколы и разрешаем mschap второй версии. Логин и пароль, которые мы указываем при подключении к VPN должны быть прописаны в /etc/pppd/chap-secrets. Именно по ним, и именно на этом этапе осуществляется авторизация клиента.

8. Уже на втором этапе можно настроить шифрование по майкрософтовской технологии MPPE. За него отвечает параметр require-mppe, а лучше даже require-mppe-128, тогда шифрование будет 128-битным.

9. Если правильно настроить эти 2 демона - вы получите полностью рабочий VPN через L2TP. У меня получилось. При чем тут IPSec и как при этом используется OpenSWAN я пока не пойму. Ощущение, что в большинстве интернетовских манов этот демон ставится как талисман и авторы сами не понимают, что делают. Так при работающем L2TP вы можете вообще вырубить IPSec (service ipsec stop) и все будет работать без проблем.

10. Есть понимание, что должен быть еще 3 этап, где налаживается взаимодействие между pppd и OpenSWAN. Как заставить pppd работать только через IPSec я пока не нашел, копаю дальше. Если все оставить как есть - L2TP будет работать, но траффик шифроваться либо вообще не будет, либо будет шифроваться простеньким майкрософтовским алгоритмом. Ну и нафиг такое счастье нужно?

11. Есть подозрение, что к применению IPSec относится параметр ipsec saref = yes в xl2tpd.conf, но связи пока не вижу.

Как настрою все - выложу конфиги с комментариями.

[bukass]

AnrDaemon,

PPTP VPN настроил за один вечер, L2TP второй год не могу настроить.

Связано 6 точек по VPN посредством PPTP, скоро год как работает, есть пить не просит. L2TP ума дать не смог.

[jershell]

Ребята, кто может в двух словах объяснить порядок всех этих авторизаций при настройке XL2TPD?
Объясните мне, когда и какой файл с паролями используется. Спасибо.

Из личного опыта могу вам сказать, не используйте openswan c его глючным netkey`ем. Если нужен чистый xl2tp сервер, то да можно поставить xl2tpd. Настройока там действительно очень простая, но протокол l2tp не имеет никакого шифрования, поэтому чаще всего его используют с ipsec. Отличная связка racoon(ipsec)+xl2tpd(l2tp), к такой связке без проблем подключаются почти все устройства и системы.

Если совсем хочется чего-нибудь простого, используйте SoftEther VPN — продвинутый мультипротокольный VPN-сервер вот описание http://habrahabr.ru/post/208782/ , а вот сам разраб пишет как его настраивать. http://blog.lincoln.hk/blog/2013/03/19/softether-on-vps/  Клиент для настройки запускается под вайном, вся настройка в основном мышкой.