classic.ISPforum.cz

Napsal: **06 May 2015 19:07**

ahoj, dokázal by mi někdo poradit jak nakonfigurovat tento tunel? Teoreticky je jedno jaká strana bude server....

děkuji

Napsal: **07 May 2015 10:39**

Nu, musíš k sobě slepit ppp, l2tp a ipsec. :-)

Při vhodné volbě l2tp serveru bude mít ppp v sobě, tak ušetřís babrání se s jednou vrstvu (např l2tpns). Většina l2tp implementací umí jen server část (LNS), nemají podporu klienta (LAC). Klienta umí třeba xl2tpd.
Já používán kombinaci klasického pppd, xl2tpd a strongswan. Ale jen jako server pro mobilní klienty s notebooky/mobily, zásadně ne pro PtP tunely.
IMHO bych to takto nedělal, máš na tom MKču i linuxu veřejnou IP? Pak to pošli přímo IPsec tunelem, pokud chceš přes to posílat tunu segmentů (a nervy by tekly z těch hromad spd pravidel) nebo dynamicky routovat, tak GRE obalený IPsec transportem - to je o dva řády míň práce.

Napsal: **07 May 2015 16:04**

no na obou stranách jsou veřejky, takže iptunel s ipsec?

Napsal: **07 May 2015 21:19**

Pak bych šel tou cestou toho IPIP nebo GRE tunelu a obalil to tím IPsec transportem. Tunel se dá nadefinovat i přes /etc/network/interfaces, IPsec si pak k tomu pustíš zvlášť.
Jak ten tunel v linuchu viz zde: http://www.krijnders.net/index.php?page ... interfaces (je tam jen blbě to mtu 1500, pro gre by mělo být 1476, pro gre/IPSec transport 1432, jestli-že původní linka přenese 1500). Pokud místo GRE tunelu chceš použít IPIP, tak se jen místo "mode gre" dáš "mode ipip" (mtu v tom případe 1480 pro ipip a 1436 pro ipip/IPsec). MK stranu asi uklikat zvládneš.

Napsal: **07 May 2015 23:23**

jo díky, tohle dám ale ten ipsec na tom debianu asi moc ne

Napsal: **08 May 2015 12:53**

Nepropadej depresi, ještě ti nový T-14 nesestřeluje puklice ze sloupů (to až na přesrok, až doladí gyroskopy).... :-)

Jak udělat IPsec tunel v Debianu máš popsáno zde: https://wiki.debian.org/IPsec
Pokud chceš posílat mezi sebou jeden blok/něco z jedné a jiný blok/něco na druhé straně, tak můžeš použít jen holý IPsec tunel dle toho postupu a neprznit to ještě tím IPIP/GRE.
Pokud trváš na tom IPIP tunelu a ten pak obalit IPSec transportem, tak se to jen modifiluje o to, že místo "esp/tunnel/IP1-IP1/require;" se použije "esp/transport/require;" a všude s epracuje jen s IP adrsa těch konců tunelů.
Takže naslepo, pokud linux je konec tunelu IP1 a MKčko IP2.
/etc/racoon/racoon.conf

Kód: Vybrat vše

path pre_shared_key "/etc/racoon/psk.txt";

listen {
   isakmp IP1 [500];
}
remote IP2 {
        exchange_mode main;
        initial_contact on;
        lifetime time 24 hour;
        proposal_check strict;
        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group 2;
                peers_identifier address IP2;
      my_identifier address IP1;
           dpd_delay 10;
        }
}

sainfo address IP1 ipencap address IP2 ipencap {
        pfs_group 2;
        lifetime time 1 hour ;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm none;
}

/etc/ipsec-tools.conf

Kód: Vybrat vše

flush;
spdflush;

spdadd IP1 IP2 ipencap -P out ipsec
           esp/transport//require;

spdadd IP2 IP1 ipencap -P in ipsec
           esp/transport//require;

Toto by mělo IPsec transport přilepit jen na IPIP tunel (ipencap). Ostatní viz ten odkaz nahoře.

classic.ISPforum.cz

l2tp via ipsec MK->debian

l2tp via ipsec MK->debian

Re: l2tp via ipsec MK->debian

Re: l2tp via ipsec MK->debian

Re: l2tp via ipsec MK->debian

Re: l2tp via ipsec MK->debian

Re: l2tp via ipsec MK->debian