LINUX.ORG.RU
ФорумAdmin

windows ipsec l2tp клиент за nat

 , , , ,


0

1

Есть сервер strongswan, есть windows клиент за роутером с NAT. IKE2 работет через nat-t, L2TP работает только если убрать NAT.

Arch StrongSwan (192.168.2.38) <- (192.168.2.27) OpenBSD:NAT (192.168.77.1) <- (192.168.77.3) Windows XP/7 client

Смысл схемы в раздаче корпоративного интернета различным офисам с авторизацией и шифрованием (без проксей).

Уже 3 дня пытаюсь завести и реестр правил и конфиг правил раз 1000.

Как заставить работать клиента за натом ?

config setup
        uniqueids=keep

conn %default
        type=transport
        authby=pubkey
        ikelifetime=60m
        keylife=20m
        rekeymargin=3m
        keyingtries=1
        dpdaction=clear
        dpddelay=30s
        dpdtimeout=180s

conn rw-ike1
        rightid="C=RU, ST=xxx, L=xxx, O=xxx, OU=it, CN=gsh"
        left=%defaultroute
        leftid="C=RU, ST=xxx, L=xxx, O=xxx, OU=it, CN=archswan.xxx.xxx"
        leftcert=server.crt
        leftauth=pubkey
        keyexchange=ikev1
        right=%any
        leftsourceip=192.168.2.38
        rightsourceip=192.168.77.3
        rightsubnet=192.168.77.0/24
        leftsubnet=0.0.0.0/0
        auto=add

1. В конфиге ике1

2. Реестр править не надо, у меня все работает из-за ната искаропки, но в качестве сервера цыска аса.

3. Для ике1 нужно указать nat_traversal=yes

blind_oracle ★★★★★ ()
Ответ на: комментарий от blind_oracle

nat_traversal deprecated и я так понял включено по умолчнию, хотелось бы рабочие конфиги сервера.

koi8-r ()
Ответ на: комментарий от koi8-r

Оно отключено при сборке по умолчанию т.к. считается дырявым. Поэтому либо собирай с ним и включай в конфиге либо юзай ике2, но с ним я не уверен что л2тп дружит.

blind_oracle ★★★★★ ()
Ответ на: комментарий от blind_oracle

похоже,что настройки реестра винды для nat-t подхватываются только для ike-2, но не для l2tp. при указании rightsubnet в логах стронгсвана отчет об установке соединения у винды таймаут сервера l2tp ...

koi8-r ()
Ответ на: комментарий от thesis

Роутер openbsd.

# grep -vE '(^#|^$)'  /etc/pf.conf
set skip on lo
pass            # to establish keep-state
block in on ! lo0 proto tcp to port 6000:6010
int_if = "em1"
ext_if = "em0"
match out on $ext_if nat-to ($ext_if)
Сервер ipsec ArchLinux.

koi8-r ()
Ответ на: комментарий от koi8-r

У меня винда 7 и макось работают с l2tp/ikev1/ipsec сервером cisco asa из коробки безо всяких твиков из-за любого ната. Так что проблема где-то в сервере...

blind_oracle ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.