Код:
apt install strongswan
Код:
vim /etc/ipsec.conf
и добавим в его конец следующие две секции:
Код:
conn rw-base
fragmentation=yes
dpdaction=clear
dpdtimeout=90s
dpddelay=30s
conn l2tp-vpn
also=rw-base
leftsubnet=%dynamic[/1701]
rightsubnet=%dynamic
leftauth=psk
rightauth=psk
type=transport
auto=add
ike=aes128-sha1-modp1024,3des-sha1-modp1024,aes128-sha256-modp3072
esp=aes128-sha1-modp1024,3des-sha1-modp1024,aes128-sha256-modp3072
Первая секция задает общие параметры: включает фрагментацию IKE и настраивает протокол обнаружения мертвых узлов (Dead Peer Detection, DPD), отвечающий за обнаружение неактивных клиентов. Вторая относится уже к L2TP-соединениям, указывая использовать транспортный режим IPsec, аутентификацию по общему ключу и задает используемые шифры. Приведенные значения являются рекомендуемыми и взяты из официальной документации strongSwan.
Общий ключ следует указать в файле
/etc/ipsec.secrets, добавив в него следующую строку:
Код:
%any %any : PSK "admin_padonak"
Где
admin_padonak - общий ключ, так как от него зависит безопасность вашей VPN-сети рекомендуют использовать в качестве ключа случайно сгенерированную строку из букв, цифр и спецсимволов. Для этого можно воспользоваться командой:
Код:
openssl rand -base64 18
После внесения указанных настроек перезапустим службу:
Код:
systemctl restart strongswan-starter
Настраиваем L2TPКод:
apt install xl2tpd
Код:
vim /etc/xl2tpd/xl2tpd.conf
Код:
[global]
port = 1701
auth file = /etc/ppp/chap-secrets
access control = no
ipsec saref = yes
force userspace = yes
[lns default]
exclusive = no
ip range = 192.168.7.2-192.168.7.45
local ip = 192.168.7.1
lac = 192.168.0.1
name = padonak
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes
require authentication = yes
flow bit = yes
Параметр auth file указывает на файл с данными для аутентификации, а pppoptfile - набор опций для PPP-соединения, которое используется внутри L2TP-туннеля, name - имя сервера, которое будет использоваться для поиска аутентификационных данных в файле chap-secrets.
Опции local ip и ip range отвечают за локальный адрес сервера в VPN-сети и диапазон адресов для выдачи удаленным клиентам. Здесь можно использовать два подхода: выдавать клиентам адреса из диапазона локальной сети офиса и включить ProxyARP, в этом случае настраивать маршрутизацию на клиентах не требуется, они будут как-бы включены в общую сеть офиса на канальном уровне (L2), либо выдавать адреса из непересекающегося диапазона и использовать маршрутизацию
Код:
cd /etc/ppp
Код:
cp options options.xl2tpd
Код:
vim /etc/ppp/options.xl2tpd
Код:
asyncmap 0
auth
crtscts
lock
hide-password
modem
mtu 1460
lcp-echo-interval 30
lcp-echo-failure 4
noipx
noccp
proxyarp
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
multilink
mppe-stateful
ms-dns 8.8.8.8
ms-dns 8.8.4.4
Рестартуем:
Код:
systemctl restart xl2tpd
/etc/ppp/chap-secrets и внесем следующую строку:
Код:
hudoy padonak Pa$$word_1 *
Первым указываем логин, затем имя службы, оно должно совпадать с тем, которое мы указали в опции name в xl2tpd.conf, после него идет пароль и IP-адрес клиента, символ * обозначает что можно присвоить любой адрес из выбранного диапазона. Если же требуется выдать клиенту постоянный адрес, то его следует указать явно, и он не должен входить в динамический диапазон указанный в ip range, например:
Код:
semenov padonak Pa$$word_2 192.168.7.47
Для доступа к L2TP-серверу следует разрешить в брандмауэре входящие подключения к портам
500 UDP, 1701 UDP и 4500 UDP.
_________________
Моя характеристика с детского сада: Хорошо кушает, спит, гуляет! Прошло много лет, ничего не изменилось.