ahoj, dokázal by mi někdo poradit jak nakonfigurovat tento tunel? Teoreticky je jedno jaká strana bude server....
děkuji
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
l2tp via ipsec MK->debian
l2tp via ipsec MK->debian
0 x
Povoláním ISP není jen připojovat lidi k internetu, ale také jim dokázat vysvětlit, že bez pořádné investice do HW nelze udělat kvalitní přípojku a domácí síť...
Nu, musíš k sobě slepit ppp, l2tp a ipsec. 
Při vhodné volbě l2tp serveru bude mít ppp v sobě, tak ušetřís babrání se s jednou vrstvu (např l2tpns). Většina l2tp implementací umí jen server část (LNS), nemají podporu klienta (LAC). Klienta umí třeba xl2tpd.
Já používán kombinaci klasického pppd, xl2tpd a strongswan. Ale jen jako server pro mobilní klienty s notebooky/mobily, zásadně ne pro PtP tunely.
IMHO bych to takto nedělal, máš na tom MKču i linuxu veřejnou IP? Pak to pošli přímo IPsec tunelem, pokud chceš přes to posílat tunu segmentů (a nervy by tekly z těch hromad spd pravidel) nebo dynamicky routovat, tak GRE obalený IPsec transportem - to je o dva řády míň práce.
Při vhodné volbě l2tp serveru bude mít ppp v sobě, tak ušetřís babrání se s jednou vrstvu (např l2tpns). Většina l2tp implementací umí jen server část (LNS), nemají podporu klienta (LAC). Klienta umí třeba xl2tpd.Já používán kombinaci klasického pppd, xl2tpd a strongswan. Ale jen jako server pro mobilní klienty s notebooky/mobily, zásadně ne pro PtP tunely.
IMHO bych to takto nedělal, máš na tom MKču i linuxu veřejnou IP? Pak to pošli přímo IPsec tunelem, pokud chceš přes to posílat tunu segmentů (a nervy by tekly z těch hromad spd pravidel) nebo dynamicky routovat, tak GRE obalený IPsec transportem - to je o dva řády míň práce.
0 x
no na obou stranách jsou veřejky, takže iptunel s ipsec?
0 x
Povoláním ISP není jen připojovat lidi k internetu, ale také jim dokázat vysvětlit, že bez pořádné investice do HW nelze udělat kvalitní přípojku a domácí síť...
Pak bych šel tou cestou toho IPIP nebo GRE tunelu a obalil to tím IPsec transportem. Tunel se dá nadefinovat i přes /etc/network/interfaces, IPsec si pak k tomu pustíš zvlášť.
Jak ten tunel v linuchu viz zde: http://www.krijnders.net/index.php?page ... interfaces (je tam jen blbě to mtu 1500, pro gre by mělo být 1476, pro gre/IPSec transport 1432, jestli-že původní linka přenese 1500). Pokud místo GRE tunelu chceš použít IPIP, tak se jen místo "mode gre" dáš "mode ipip" (mtu v tom případe 1480 pro ipip a 1436 pro ipip/IPsec). MK stranu asi uklikat zvládneš.
Jak ten tunel v linuchu viz zde: http://www.krijnders.net/index.php?page ... interfaces (je tam jen blbě to mtu 1500, pro gre by mělo být 1476, pro gre/IPSec transport 1432, jestli-že původní linka přenese 1500). Pokud místo GRE tunelu chceš použít IPIP, tak se jen místo "mode gre" dáš "mode ipip" (mtu v tom případe 1480 pro ipip a 1436 pro ipip/IPsec). MK stranu asi uklikat zvládneš.
0 x
jo díky, tohle dám ale ten ipsec na tom debianu asi moc ne 
0 x
Povoláním ISP není jen připojovat lidi k internetu, ale také jim dokázat vysvětlit, že bez pořádné investice do HW nelze udělat kvalitní přípojku a domácí síť...
Nepropadej depresi, ještě ti nový T-14 nesestřeluje puklice ze sloupů (to až na přesrok, až doladí gyroskopy)....
Jak udělat IPsec tunel v Debianu máš popsáno zde: https://wiki.debian.org/IPsec
Pokud chceš posílat mezi sebou jeden blok/něco z jedné a jiný blok/něco na druhé straně, tak můžeš použít jen holý IPsec tunel dle toho postupu a neprznit to ještě tím IPIP/GRE.
Pokud trváš na tom IPIP tunelu a ten pak obalit IPSec transportem, tak se to jen modifiluje o to, že místo "esp/tunnel/IP1-IP1/require;" se použije "esp/transport/require;" a všude s epracuje jen s IP adrsa těch konců tunelů.
Takže naslepo, pokud linux je konec tunelu IP1 a MKčko IP2.
/etc/racoon/racoon.conf
/etc/ipsec-tools.conf
Toto by mělo IPsec transport přilepit jen na IPIP tunel (ipencap). Ostatní viz ten odkaz nahoře.
Jak udělat IPsec tunel v Debianu máš popsáno zde: https://wiki.debian.org/IPsec
Pokud chceš posílat mezi sebou jeden blok/něco z jedné a jiný blok/něco na druhé straně, tak můžeš použít jen holý IPsec tunel dle toho postupu a neprznit to ještě tím IPIP/GRE.
Pokud trváš na tom IPIP tunelu a ten pak obalit IPSec transportem, tak se to jen modifiluje o to, že místo "esp/tunnel/IP1-IP1/require;" se použije "esp/transport/require;" a všude s epracuje jen s IP adrsa těch konců tunelů.
Takže naslepo, pokud linux je konec tunelu IP1 a MKčko IP2.
/etc/racoon/racoon.conf
Kód: Vybrat vše
path pre_shared_key "/etc/racoon/psk.txt";
listen {
isakmp IP1 [500];
}
remote IP2 {
exchange_mode main;
initial_contact on;
lifetime time 24 hour;
proposal_check strict;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
peers_identifier address IP2;
my_identifier address IP1;
dpd_delay 10;
}
}
sainfo address IP1 ipencap address IP2 ipencap {
pfs_group 2;
lifetime time 1 hour ;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
compression_algorithm none;
}
/etc/ipsec-tools.conf
Kód: Vybrat vše
flush;
spdflush;
spdadd IP1 IP2 ipencap -P out ipsec
esp/transport//require;
spdadd IP2 IP1 ipencap -P in ipsec
esp/transport//require;
Toto by mělo IPsec transport přilepit jen na IPIP tunel (ipencap). Ostatní viz ten odkaz nahoře.
0 x