LINUX.ORG.RU
ФорумAdmin

Помогите настроить сервер xl2tpd – для Win клиента.


0

1

/etc/xl2tpd/xl2tpd.conf

[global]
port = 1701
access control = no
auth file =/etc/ppp/chap-secrets
rand source = dev

[lns default]
exclusive = yes
hidden bit = yes
local ip = 10.20.0.2
require chap = yes
refuse pap = yes
refuse authentication = no
require authentication = yes
name = local
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
flow bit = yes
length bit = yes

/etc/ppp/chap-secrets

test local test 10.20.16.13

/etc/ppp/options.xl2tpd

ipcp-accept-local
ipcp-accept-remote
ms-dns 172.16.20.1
ms-dns 172.16.0.2

noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000

Логи:

Oct 15 22:10:49 local xl2tpd[4547]: This binary does not support kernel L2TP.
Oct 15 22:10:49 local xl2tpd[4548]: xl2tpd version xl2tpd-1.1.12 started on local.hutor.net PID:4548
Oct 15 22:10:49 local xl2tpd[4548]: Written by Mark Spencer, Copyright (C) 1998, Adtran, Inc.
Oct 15 22:10:49 local xl2tpd[4548]: Forked by Scott Balmos and David Stipp, (C) 2001
Oct 15 22:10:49 local xl2tpd[4548]: Inherited by Jeff McAdams, (C) 2002
Oct 15 22:10:49 local xl2tpd[4548]: Forked again by Xelerance (http://www.xelerance.com) (C) 2006
Oct 15 22:10:49 local xl2tpd[4548]: Listening on IP address 0.0.0.0, port 1701


Что бы я не делал – все время получаю:

Oct 15 22:11:10 local xl2tpd[4548]: Maximum retries exceeded for tunnel 59090. Closing.
Oct 15 22:11:10 local xl2tpd[4548]: Connection 12 closed to 172.16.16.13, port 1701 (Timeout)
Oct 15 22:11:25 local xl2tpd[4548]: Maximum retries exceeded for tunnel 23235. Closing.
Oct 15 22:11:25 local xl2tpd[4548]: Connection 12 closed to 172.16.16.13, port 1701 (Timeout)

Tcpdump:

22:12:35.108581 IP 172.16.16.13.l2tp > 172.16.20.1.l2tp: l2tp:[TLS](0/0)Ns=0,Nr=0 *MSGTYPE(SCCRQ) *PROTO_VER(1.0) *FRAMING_CAP(S) *BEARER_CAP() |...
22:12:36.120029 IP 172.16.16.13.l2tp > 172.16.20.1.l2tp: l2tp:[TLS](0/0)Ns=0,Nr=0 *MSGTYPE(SCCRQ) *PROTO_VER(1.0) *FRAMING_CAP(S) *BEARER_CAP() |...
22:12:37.108749 IP 172.16.16.1.l2tp > 172.16.16.13.l2tp: l2tp:[TLS](13/0)Ns=0,Nr=1 *MSGTYPE(SCCRP) *RANDOM_VECTOR(ee91f8df862bfe11a6aa0c1facc5be0a) *PROTO_VER(1.0) |...
22:12:37.108855 IP 172.16.16.1.l2tp > 172.16.16.13.l2tp: l2tp:[TLS](13/0)Ns=0,Nr=1 ZLB
22:12:38.108760 IP 172.16.16.1.l2tp > 172.16.16.13.l2tp: l2tp:[TLS](13/0)Ns=0,Nr=1 *MSGTYPE(SCCRP) *RANDOM_VECTOR(ee91f8df862bfe11a6aa0c1facc5be0a) *PROTO_VER(1.0) |...
22:12:38.132454 IP 172.16.16.13.l2tp > 172.16.20.1.l2tp: l2tp:[TLS](0/0)Ns=0,Nr=0 *MSGTYPE(SCCRQ) *PROTO_VER(1.0) *FRAMING_CAP(S) *BEARER_CAP() |...
22:12:38.132570 IP 172.16.16.1.l2tp > 172.16.16.13.l2tp: l2tp:[TLS](13/0)Ns=0,Nr=1 ZLB
22:12:39.108775 IP 172.16.16.1.l2tp > 172.16.16.13.l2tp: l2tp:[TLS](13/0)Ns=0,Nr=1 *MSGTYPE(SCCRP) *RANDOM_VECTOR(ee91f8df862bfe11a6aa0c1facc5be0a) *PROTO_VER(1.0) |...


require authentication = yes

сие вам зачем? винда это не умеет, это авторизация l2tp туннеля. Уберите.

Davyd ★★ ()
Ответ на: комментарий от Davyd

к вышесказанному хочу добавить тот факт, что необходимо на винде отключить IPSec в L2TP-туннеле, ибо по умолчанию винда не пытается поднять чистый L2TP, а требует L2TP+IPSec. Как это делать - хз, сам не пробовал

Pinkbyte ★★★★★ ()

Вот, это работает. В винде выбираем «Data encryption: No encryption allowed». Это выключит айписекс, но при этом шифрование по MPPE останется. В винде хр сложнее, надо лезть в реестр, см. гугль.

# cat /etc/ppp/options.xl2tpd
name pptpd
deflate 15,15
predictor1
vj-max-slots 16
ktune
mtu 1280
mru 1280
lcp-echo-interval 15
lcp-echo-failure 4
nomp
refuse-pap
refuse-eap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
nomppe-stateful
ms-dns 10.1.0.4
ms-dns 10.1.0.10
ms-wins 10.1.0.4
ms-wins 10.1.0.10
proxyarp
lock
nologfd
plugin radius.so
plugin radattr.so
debug

# cat radiusclient.conf | egrep -v '^$|^#'
auth_order      radius
login_tries     4
login_timeout   60
nologin         /etc/nologin
issue           /etc/ppp/radius/issue
authserver      10.1.0.10:1812
acctserver      127.0.0.1:1813
servers         /etc/ppp/radius/servers
dictionary      /etc/ppp/radius/dictionary
login_radius    /usr/sbin/login.radius
seqfile         /var/run/radius.seq
mapfile         /etc/ppp/radius/port-id-map
default_realm
radius_timeout  5
radius_retries  3
nas_identifier  PPTPD
login_local     /bin/login

# cat servers
10.1.0.10 xxxxx

# cat xl2tpd.conf
[global]
port = 1701
auth file = /etc/l2tpd/l2tp-secrets
access control = no
rand source = dev

[lns vpn]
exclusive = no
ip range = 10.1.3.201 - 10.1.3.224
lac = 0.0.0.0 - 255.255.255.255
length bit = yes
local ip = 10.1.3.200
require authentication = no
name = mx2
pppoptfile = /etc/ppp/options.xl2tpd
blind_oracle ★★★★★ ()
Ответ на: комментарий от blind_oracle

Убрал, что касается radius и попробовал.

Oct 16 10:38:51 local xl2tpd[23497]: Maximum retries exceeded for tunnel 33787. Closing.
Oct 16 10:38:51 local xl2tpd[23497]: Connection 15 closed to 172.16.16.13, port 1701 (Timeout)

Клиент Windows7, выбран L2TP, шифрование отключено, для этого конфига включил mschap-v2.
Как я только не крутил - одна и таже ошибка...

Saalan ()
Ответ на: комментарий от Saalan

Ну если таймаут, то возможно какие-то проблемы с сетью между сервером и клиентом, хотя это странно довольно. У меня оно и из-за глухого НАТа вроде йоты работало, и вообще отовсюду.

blind_oracle ★★★★★ ()
Ответ на: комментарий от blind_oracle

С сетью все впорядке, клиент (я) в сети сервера. Поднят PPTP, он работает, а L2TP никак не осилю...

Saalan ()
Ответ на: комментарий от Saalan

Странно, мож версии какие кривые. У меня сразу заработало. У меня xl2tpd-1.3.0, pppd 2.4.5, ось генту.

blind_oracle ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.