The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"VPN-клиент (IPSec/L2TP) на Debian"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [ Отслеживать ]

"VPN-клиент (IPSec/L2TP) на Debian"  
Сообщение от constantine email on 15-Янв-09, 15:18 
Господа! Требуется Ваша помощь. На машинке под управлением Debian GNU/Linux, ядро 2.6, настроен VPN-клиент (протоколы IPSec/L2TP, установлены и настроены freeswan, xl2tpd, pppd и iptables), который подключается к VPN-серверу на базе Windows 2003 Server. Есть две локальные сети 192.168.1.0/24 и 192.168.2.0/24 со стороны сервера и клиента соответственно. Связь успешно устанавливается, НО клиент "видит" локальную сеть сервера (из подсети 192.168.2.0/24 пингуются адреса 192.168.1.0/24), а сервер локалку клиента - нет! С cервера пингуется только P-t-P интерфейс ppp0, который создается на клиенте при поднятии канала и имеет адрес из подсети сервера.
Куда копать?! Может, кто-то уже сталкивался с такой неприятностью? Привожу конфиги (здесь 1.1.1.1 - IP адрес удаленного сервера, 2.2.2.2 - адрес клиента):

vpn:~# cat /etc/ipsec.conf
config setup
        nat_traversal=no
        interfaces=чfaultroute
        klipsdebug=none
        plutodebug=none

conn чfault
        rekey=yes
        keyingtries=0
        pfs=no
        compress=yes

conn L2TP-PSK-CLIENT
        #
        # ----------------------------------------------------------
        # Use a Preshared Key. Disable Perfect Forward Secrecy.
        # Initiate rekeying.
        #
        # PreSharedSecret needs to be specified in /etc/ipsec.secrets as
        # YourIPAddress  %any: "sharedsecret"
        #
        # Connection type _must_ be Transport Mode.
        #
        authby=secret
        type=transport
        #
        # ----------------------------------------------------------
        # The local Linux machine that connects as a client.
        #
        # The external network interface is used to connect to the server.
        # If you want to use a different interface or if there is no
        # defaultroute, you can use:   left=your.ip.addr.ess
        left=чfaultroute
        #
        leftprotoport=17/1701
        #
        # ----------------------------------------------------------
        # The remote server.
        #
        # Connect to the server at this IP address.
        right=1.1.1.1
        #
        rightprotoport=17/1701
        # ----------------------------------------------------------
        #
        # Change 'ignore' to 'add' to enable this configuration.
        #
        auto=start

vpn:~# cat /etc/xl2tpd/xl2tpd.conf
[global]
port = 1701
auth file = /etc/xl2tpd/l2tp-secrets
access control = yes
rand source = dev
listen-addr = 2.2.2.2

[lns default]
exclusive = no

[lac L2TPserver]
lns = 1.1.1.1
redial = yes
redial timeout = 15
local ip = 192.168.1.1
;max redials = 5
require chap = yes
refuse pap = yes
require authentication = yes
refuse authentication = no
name = username
pppoptfile = /etc/ppp/options.l2tpd.client
autodial = yes

vpn:~# cat /etc/ppp/options.l2tpd.client
unit 0
user username
name username
logfile /var/log/pppd.log
ipcp-accept-remote
lcp-echo-failure 15
lcp-echo-interval 5
require-mschap-v2
refuse-pap
refuse-chap
refuse-mschap
refuse-eap
noauth
crtscts
persist
maxfail 0
nopcomp
noaccomp
idle 0
default-mru
defaultroute
nodeflate
nobsdcomp
lock
noproxyarp
nodetach
connect-delay 5000

В iptables для внешнего интерфейса (eth1) открыт в обе стороны UDP 500, UDP 1701 и протокол 50, разрешен форвардинг трафика между P-T-P интерфейсом ppp0 и внутренним интерфейсом (eth0) в обе стороны, а так же любой трафик на интерфейсе ppp0.

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "VPN-клиент (IPSec/L2TP) на Debian"  
Сообщение от serzh_hight email on 23-Янв-09, 04:04 
Я с подобным сталкивался, но использовал не Debian, а Solaris.
Для начала посоветовал бы проверить все таблицы маршрутизации на всех сетевых узлах.
Каждый сетевой узел должен знать где какие сети находятся за какими портами, у клиентов указать соответствующие шлюзы.

Для удобства просмотра таблицы я в Solaris использовал утидиту netstat -rnv.
Так трудно оценить ситуацию.
Попробуйте описать Вашу физическую и логическую структуру сети с описанием ip-адресов/масок и таблицами маршрутизации. Тогда станем мне ясна полная картина проблемной ситуации.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру