Поставил я себе на домашний сервачок просто L2TP сервер (xl2tpd) - андроид-смарты подключаются без проблем, в WinXP чтоб заработало нужно импортнуть в реестр один файлик, товарищ с Win7 что-то накрутил и тоже как-то смог подключиться, а вот с Win8 мне не удалось создать работающее подключение, не отключая шифрование.
Пошел гуглить про IPsec, нагуглил, что его можно использовать без сертификатов, с ключом. Решил поставить openswan.
Однако нигде не нашел нормального мануала с обьяснением всех параметров, большинство мануалов выглядят как "скопируйте это в свой конфиг", а кое-где даже есть противоречия.
Ситуация усугубляется тем, что мой провайдер предоставляет внешний IP методом перенаправления портов на внутренний. Т.е. внешний ip у меня 188.134.х.х , а ip интерфейса смотрящего в интернет - 10.188.х.х . Поэтому видя в мануале "внешний ip" не всегда понятно, что туда писать в моем случае.
Вот один из мануалов:
http://www.bazedy.ru/blogs/adminzliden/domashniy-vpnконфиг ipsec.conf
config setup
dumpdir=/var/run/pluto/
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v6:fd0$ #что здесь должно быть - непонятно. В большинстве мануалов оставлено дефолтным, однако в одном написано, что сюда надо вписать адрес локалки, у меня это 10.8.0.0/24.
protostack=netkey
oe=off
interfaces=%defaultroute #в дефолтном конфиге и большинстве мануалов отсутствует, что это и зачем?
conn L2TP-PSK-NAT #почему здесь этих секций - две? есть мануал, где секция одна, образец в дефолтном конфиге тоже содержит одну секцию
rightsubnet=vhost:%priv
also=L2TP-PSK-noNAT #что это означает? "добавить информацию из второй секции"?
conn L2TP-PSK-noNAT
auto=add
#как я понял, left - настройки, относящиеся к серверу, right - относящиеся к клиенту
left=192.168.1.100 #IP адрес сервера - ip интерфейса, смотрящего в инет? А почему некоторые туда внутренний ip пишут?
leftnexthop=192.168.1.1 #IP адес маршрутизатора - для чего? В некоторых мануалах опущено, однако присутствует в образце в дефолтном конфиге
leftprotoport=17/1701 #порт, на котором слушать соединения? А 17 тогда что?
rightprotoport=17/%any
right=%any
#назначение всех параметров ниже тоже непонятно (кроме authby), их нет в дефолтном конфиге и их опускают в некоторых мануалах
rightsubnetwithin=0.0.0.0/0
forceencaps=yes
authby=secret
pfs=no
type=transport
auth=esp
ike=3des-sha1
dpddelay=30
dpdtimeout=120
dpdaction=clearСобственно, задача, которой я хочу добиться - поднять VPN-сервер, к которому можно будет подключиться из любой винды без сертификатов, специального софта и сложного шаманства с реестром и настройками, а так же сохранить возможность подключаться с андроида. Может кто помочь пояснить опции из конфига?
Тема: L2TP IPsec сервер (Прочитано 2088 раз)
