LINUX.ORG.RU
ФорумAdmin

Настройка VPN на основе StrongSwan l2tp/ipsec, смена маски

 , ,


0

1

Здравствуйте, задача простая,есть потребность подключать клиентов из внешки к офису, но вот к сожалению знаний не хватает. Вроде настроил, но подключается только один клиент, второго уже не подключить пока первый не отключиться.

Также, клиент(Win10) подключается только после добавления в реестр HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent строки «AssumeUDPEncapsulationContextOnSendRule»

ipconfig на клиенте показывает что ip 10.10.0.10 маска 255.255.255.255, основной шлюз 0.0.0.0 Не могу сменить маску, и как избежать ручной правки реестра. Помогите разобраться что не так в моем конфиге, пожалуйста.

/etc/xl2tpd/xl2tpd.conf

[global]
port = 1701 
auth file = /etc/ppp/chap-secrets 
access control = no      
[lns default]   
exclusive = no       
ip range = 10.10.0.10-10.10.0.200  
hidden bit = no          
local ip = 10.10.0.1     
length bit = yes                                  
require chap = yes       
refuse pap = yes      
require authentication = yes   
name = srvl2tp     
pppoptfile = /etc/ppp/options.xl2tpd
flow bit = yes

/etc/ppp/options.xl2tpd

noccp
auth
mtu 1410
mru 1410
nodefaultroute
noproxyarp
silent
asyncmap 0
hide-password
require-mschap-v2
ms-dns 8.8.8.8
ms-dns 8.8.4.4
logfile /var/log/xl2tpd/xl2tpd.log
debug

/etc/ipsec.conf

config setup
        charondebug="ike 2, knl 3, cfg 2, mgr 2"
        uniqueids=no
        nat_traversal=yes
conn srvl2tp
    type=transport
    authby=secret
    left=%any
    leftid=@srvl2tp
    right=%any
    ikelifetime=60m
    keylife=20m
    keyingtries=3
    rekey=no
    leftprotoport=17/1701
    rightprotoport=17/%any
    auto=add
    mobike=no
hostapd. Проблема 10-ти минут
CentOS 9 увеличил размер HDD после перезагрузки снова исходный.

есть потребность подключать клиентов из внешки к офису, но вот к сожалению знаний не хватает.

Наймите того у кого знаний хватает.

anc ★★★★★
()

Добрый день. Рекомендую забыть про l2tp и использовать чистый IPsec IKEv2, если, конечно, ты по каким-то причинам ты не обязан применять l2tp. Держи конфиг клиента (X.509):

cat /etc/swanctl/conf.d/wrk-void.conf
connections
{
	version = 2
	your_client
	{
		remote_addrs = your.host.domain
		vips = 0.0.0.0
		keyingtries = 0
		version = 2

		local
		{
			auth = pubkey
			certs = wrk-void.crt
		}
	
		remote
		{
			auth = pubkey
			id = your.host.domain
		}
	
		children
		{
			your_client
			{
				remote_ts = 192.168.53.10/32,192.168.3.0/24
				#remote_ts = dynamic
				policies = yes
				start_action = start
				close_action = start
				dpd_action = restart
				#sha256_96 = yes
				#esp_proposals = aes256-sha1-modp2048
				sha256_96 = no
			}
		}
	}	
}

secrets
{
	private-wrk-void
		{
			file = wrk-void.key
			secret = "very_secret_password"
		}
}

-bash-5.3# ls -l /etc/swanctl/x509
total 8
-rwxr-xr-x 1 root root 4524 Dec 27  2024 wrk-void.crt

-bash-5.3# ls -l /etc/swanctl/private/
total 4
-rwxr-xr-x 1 root root 1886 Dec 27  2024 wrk-void.key

-bash-5.3# ls -l /etc/swanctl/x509ca/
total 4
-rw-r--r-- 1 root root 1229 Sep 25  2021 ca.crt

Сервер у меня на mikrotik, если найду серверный конфиг на linux, добавлю. А вообще добро пожаловать сюда: https://www.strongswan.org/testing/testresults/ikev2/ip-pool/ . Тут все конфиги: https://docs.strongswan.org/docs/latest/config/IKEv2.html . Всё достаточно подробно, нужно только адаптировать к своим реалиям. Я настраивал по этому мануалу.

avrigus
()
Последнее исправление: avrigus (всего исправлений: 2)
hostapd. Проблема 10-ти минут
Admin
CentOS 9 увеличил размер HDD после перезагрузки снова исходный.