LINUX.ORG.RU
ФорумAdmin

Server: L2TP/Ipsec Openswan Нужна помощь

 , ,


1

2

Конфиги:

ipsec.conf

config setup
	dumpdir=/var/run/pluto/
	nat_traversal=yes
	virtual_private=%v4:192.168.5.0/16
	oe=off
	protostack=netkey
	plutostderrlog=/var/log/pluto.log
	nhelpers=0
conn L2TP-PSK-NAT
	rightsubnet=vhost:%priv
	also=L2TP-PSK-noNAT
	compress=yes
conn L2TP-PSK-noNAT
	authby=secret
	auto=add
	keyingtries=3
	rekey=no
	type=transport
	left=192.168.0.116
	leftprotoport=17/1701
	right=%any
	rightprotoport=17/%any
	dpddelay=15
	dpdtimeout=30
	dpdaction=clear
	pfs=no
	keyexchange=ike
	ike=aes256-sha1,aes128-sha1,3des-sha1
	phase2alg=aes256-sha1,aes128-sha1,3des-sha1
xl2tpd.conf
[global]
ipsec saref = yes
port = 1701
[lns default]
ip range = 192.168.5.10-192.168.5.20
local ip = 192.168.0.116
refuse chap = yes
refuse pap = yes
require authentication = yes
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes
options.xl2tpd
domain ***.no-ip.biz
require-mschap-v2
refuse-mschap
ms-dns 192.168.0.1
asyncmap 0
auth
crtscts
idle 1800
lock
hide-password
local
#debug
name l2tpd
proxyarp
Доброго времени суток, помогите пожалуйста понять в чем проблема.. Хочу сделать для себя свой собственный VPN сервер по протоколу L2TP локально всё получается, подключается между собой, скрины: http://itmages.ru/image/view/2156924/1043f6d2 http://itmages.ru/image/view/2156925/846e3397 http://itmages.ru/image/view/2156927/9906682b Провайдер Beeline-corbina*ru http://itmages.ru/image/view/2156957/cd1b5110 На роуторе настроен перенаправления портов на сервер http://itmages.ru/image/view/2156932/8321af08 Через DDNS noip*com делаю себя видимым но подключатся не хочет.. А вот когда пробую через инет подключится ошибка 809: http://itmages.ru/image/view/2156933/cb6c372a Помогите пожалуйста разобраться в чем проблема?

Запустите tcpdump на вашем l2tp сервере и убедитесь, что транспортные udp-пакеты доходят или не доходят. Может провадёр перекрыл или роутер не перенаправляет...

mky ★★★★★ ()
Ответ на: комментарий от mky

Напиши как правильно будет проверить через tcpdump, пожалуйста)

theasd ()
Ответ на: комментарий от theasd

Запускаете на вашем l2tp-сервере tcpdump на перехват udp-пакетов и icmp-пакетов и смотрите, что происходит при попытке установить соединение извне. Допустим так:

tcpdump -i any -n -nn udp or icmp

Если при этом на сервере много udp-трафика (DNS, торренты), то можно смотреть только проброшенные на маршрутизаторе порты:

tcpdump -i any -n -nn icmp or \( udp and \( port 500 or port 1701 or port 4500 \) \)

Здесь скобки в выражении экранированны, чтоб их bash не воспринял на свой счёт.

Да, и 50, это не номер порта, это номер протокола. Но, если через NAT, то ипользуется UDP (проткол номер 17), порт 4500.

mky ★★★★★ ()
Ответ на: Результат) от theasd

Re: Результат)

По дампам видно, что пакеты ходят. Первая стадия установки l2tp тунеля — установка ipsec тунеля начинается. Смотрите логи сервера, что он там пишет, вроде как /var/log/pluto.log.

И, вот эта вот винда, с которой вы пытаетесь установить соединение через интеренет, это та же винда, что нормально подключается в локальной сети? А то там с самой виндой какие-то приколы бывают, какие-то патчи/reg-файлы нужны, но я их не знаю и это оффтопик здесь.

mky ★★★★★ ()

ТС если не осилишь этот L2TP сервис, то погляди в сторону SoftEtherVPN

MikeDM ★★★★★ ()
Ответ на: комментарий от MikeDM

Попробую, подкинь хорошее мануальчики) за ранее спасибо!)

theasd ()
Ответ на: комментарий от theasd

на офф сайте все отлично расписано. не осилишь, кастуй меня тут.

MikeDM ★★★★★ ()
Ответ на: комментарий от theasd

В случае подключения из вне последняя строка в pluto.log должна выглядеть так:

IPsec SA established transport mode {ESP/NAT=

У вас там нет слова ″NAT″ — это, ИМХО, и есть причина. Возможно, поможет это.

mky ★★★★★ ()
Ответ на: комментарий от mky

Ути епта :D Подключился, а как быть с телефоном? Если я хочу подключится с телефона например?

theasd ()
Ответ на: комментарий от theasd

Вобще не знаю, что делать с телефоном. Лучше создайте отдельную тему, но вас могут отправить с ЛОРа на какой-нибудь форум по смартфонам.

mky ★★★★★ ()
Ответ на: комментарий от MikeDM

Привет=))

Нужна помощь объясни зачем и для чего это нужны ниже скрины

http://itmages.ru/image/view/2179289/59f51034 Как правильно пользоваться доступом?)) http://itmages.ru/image/view/2179307/01aa9782 Два типа хабов, зачем они? http://itmages.ru/image/view/2179313/8c757e4f Что за кластеры? http://itmages.ru/image/view/2179316/95008f44 Что за политики?

theasd ()
Ответ на: Привет=)) от theasd

оххх. ты пробовал доку читать? SEVPN умеет работать как кластер VPN серверов. (он для этого изначально и создавался). Политики это опции.

MikeDM ★★★★★ ()
Ответ на: комментарий от MikeDM

Хорошо, а слушай) я так понял чтобы пользователи AD заходили в канал под своими логинами нужно радиус настроить и подключить к SEVPN?

theasd ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.