Настраиваем L2TP/IPSec VPN-сервер на платформе Ubuntu Linux

Модератор: padonki

Ответить
Аватара пользователя
Padonak
padonki
Сообщения: 3785
Зарегистрирован: 14 авг 2006, 20:43
Контактная информация:
Контактная информация пользователя Padonak

Настраиваем L2TP/IPSec VPN-сервер на платформе Ubuntu Linux

Сообщение Padonak »

Код: Выделить всё

apt install strongswan

Код: Выделить всё

vim  /etc/ipsec.conf
и добавим в его конец следующие две секции:

Код: Выделить всё

conn rw-base
    fragmentation=yes
    dpdaction=clear 
    dpdtimeout=90s
    dpddelay=30s

conn l2tp-vpn
    also=rw-base
    leftsubnet=%dynamic[/1701]
    rightsubnet=%dynamic
    leftauth=psk
    rightauth=psk
    type=transport
    auto=add
    ike=aes128-sha1-modp1024,3des-sha1-modp1024,aes128-sha256-modp3072
    esp=aes128-sha1-modp1024,3des-sha1-modp1024,aes128-sha256-modp3072
Первая секция задает общие параметры: включает фрагментацию IKE и настраивает протокол обнаружения мертвых узлов (Dead Peer Detection, DPD), отвечающий за обнаружение неактивных клиентов. Вторая относится уже к L2TP-соединениям, указывая использовать транспортный режим IPsec, аутентификацию по общему ключу и задает используемые шифры. Приведенные значения являются рекомендуемыми и взяты из официальной документации strongSwan.

Общий ключ следует указать в файле /etc/ipsec.secrets, добавив в него следующую строку:

Код: Выделить всё

%any %any : PSK "admin_padonak"
Где admin_padonak - общий ключ, так как от него зависит безопасность вашей VPN-сети рекомендуют использовать в качестве ключа случайно сгенерированную строку из букв, цифр и спецсимволов. Для этого можно воспользоваться командой:

Код: Выделить всё

openssl rand -base64 18
После внесения указанных настроек перезапустим службу:

Код: Выделить всё

systemctl restart strongswan-starter
Настраиваем L2TP

Код: Выделить всё

apt install xl2tpd

Код: Выделить всё

vim /etc/xl2tpd/xl2tpd.conf

Код: Выделить всё

[global]
port = 1701
auth file = /etc/ppp/chap-secrets
access control = no
ipsec saref = yes
force userspace = yes

[lns default]
exclusive = no
ip range = 192.168.7.2-192.168.7.45
local ip = 192.168.7.1
lac = 192.168.0.1
name = padonak
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes
require authentication = yes
flow bit = yes

Параметр auth file указывает на файл с данными для аутентификации, а pppoptfile - набор опций для PPP-соединения, которое используется внутри L2TP-туннеля, name - имя сервера, которое будет использоваться для поиска аутентификационных данных в файле chap-secrets.

Опции local ip и ip range отвечают за локальный адрес сервера в VPN-сети и диапазон адресов для выдачи удаленным клиентам. Здесь можно использовать два подхода: выдавать клиентам адреса из диапазона локальной сети офиса и включить ProxyARP, в этом случае настраивать маршрутизацию на клиентах не требуется, они будут как-бы включены в общую сеть офиса на канальном уровне (L2), либо выдавать адреса из непересекающегося диапазона и использовать маршрутизацию

Код: Выделить всё

cd /etc/ppp

Код: Выделить всё

cp options options.xl2tpd

Код: Выделить всё

vim /etc/ppp/options.xl2tpd

Код: Выделить всё

asyncmap 0
auth
crtscts
lock
hide-password
modem
mtu 1460
lcp-echo-interval 30
lcp-echo-failure 4
noipx
noccp
proxyarp
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
multilink
mppe-stateful
ms-dns 8.8.8.8
ms-dns 8.8.4.4
Рестартуем:

Код: Выделить всё

systemctl restart xl2tpd
/etc/ppp/chap-secrets и внесем следующую строку:

Код: Выделить всё

hudoy   padonak   Pa$$word_1   *
Первым указываем логин, затем имя службы, оно должно совпадать с тем, которое мы указали в опции name в xl2tpd.conf, после него идет пароль и IP-адрес клиента, символ * обозначает что можно присвоить любой адрес из выбранного диапазона. Если же требуется выдать клиенту постоянный адрес, то его следует указать явно, и он не должен входить в динамический диапазон указанный в ip range, например:

Код: Выделить всё

semenov   padonak   Pa$$word_2   192.168.7.47

Для доступа к L2TP-серверу следует разрешить в брандмауэре входящие подключения к портам 500 UDP, 1701 UDP и 4500 UDP.
Моя характеристика с детского сада: Хорошо кушает, спит, гуляет! Прошло много лет, ничего не изменилось.
Изображение
Вернуться к началу
Аватара пользователя
Padonak
padonki
Сообщения: 3785
Зарегистрирован: 14 авг 2006, 20:43
Контактная информация:
Контактная информация пользователя Padonak

Re: Настраиваем L2TP/IPSec VPN-сервер на платформе Ubuntu Li

Сообщение Padonak »

Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным ПК


Как исправить - смотрим там >>>>
Моя характеристика с детского сада: Хорошо кушает, спит, гуляет! Прошло много лет, ничего не изменилось.
Изображение
Вернуться к началу
Аватара пользователя
Kodla
Сообщения: 168
Зарегистрирован: 18 июл 2007, 21:29
Контактная информация:
Контактная информация пользователя Kodla

Re: Настраиваем L2TP/IPSec VPN-сервер на платформе Ubuntu Li

Сообщение Kodla »

Padonak писал(а):Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным ПК


Как исправить - смотрим там >>>>


Посмотрел там и ... Все три варианта онли для Windows 10 и Windows 11)))
Вернуться к началу
Аватара пользователя
Padonak
padonki
Сообщения: 3785
Зарегистрирован: 14 авг 2006, 20:43
Контактная информация:
Контактная информация пользователя Padonak

Re: Настраиваем L2TP/IPSec VPN-сервер на платформе Ubuntu Li

Сообщение Padonak »

Kodla писал(а):
Padonak писал(а):Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным ПК


Как исправить - смотрим там >>>>


Посмотрел там и ... Все три варианта онли для Windows 10 и Windows 11)))
Ну винда 7 это уже старьё . Как и винда 10 уже к закату клоница :)
Моя характеристика с детского сада: Хорошо кушает, спит, гуляет! Прошло много лет, ничего не изменилось.
Изображение
Вернуться к началу
Ответить

Вернуться в «Все для Linux»