xl2tpd+IPSec(racoon)+ppp

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС для молодых и начинающих системных администраторов.

Модератор: SLEDopit

Аватара пользователя
saikov
Сообщения: 183
ОС: Mageia

xl2tpd+IPSec(racoon)+ppp

Сообщение saikov » 14.04.2018 15:27

Доброго дня. Есть сервер на CentoOS 7. Нужно настроить на нем связку xl2tpd+IPSec(racoon)+ppp что бы компы к нему конектились и трафик через него ходил (короче VPN нужен)
Все настроил, все работает, но в файле psk.txt указывается конкретный белый IP который будет ломиться на сервер и показывать ключ.

Код: Выделить всё

root@MNBL329 ~]# cat /etc/racoon/psk.txt 
XX.XX.XX.XX     SECRETKEY1 
XX.XX.XX.XX	SECRETKEY2
У меня два компа с одной сети должны к серверу подключиться, а они имеют один IP смотрящий наружу. Т.е. если второй подключается, то первый отваливется. Как быть? Знаю что можно как то racoon настроить по имени, но что то не нагуглю.
Конфиг racoon
Spoiler

Код: Выделить всё

[root@MNBL329 ~]# cat /etc/racoon/racoon.conf 

# Racoon IKE daemon configuration file.
# See 'man racoon.conf' for a description of the format and entries.

path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";
path script "/etc/racoon/scripts";

sainfo anonymous
{
	#pfs_group 2;
	lifetime time 1 hour ;
	encryption_algorithm 3des, blowfish 448, rijndael ;
	authentication_algorithm hmac_sha1, hmac_md5 ;
	compression_algorithm deflate ;
}

remote anonymous
{
        exchange_mode    aggressive,main,base;
        doi              ipsec_doi;
        passive          on;
        proposal_check   obey;
        support_proxy    on;
        nat_traversal    on;
        ike_frag         on;
        dpd_delay        20;
        proposal
        {
                encryption_algorithm  aes;
                hash_algorithm        sha1;
                authentication_method pre_shared_key;
                dh_group              modp1024;
        }
        proposal
        {
                encryption_algorithm  3des;
                hash_algorithm        sha1;
                authentication_method pre_shared_key;
                dh_group              modp1024;
        }
}

options.xl2tpd
Spoiler

Код: Выделить всё

[root@MNBL329 ~]# cat /etc/ppp/options.xl2tpd 
ipcp-accept-local
ipcp-accept-remote
ms-dns  8.8.8.8
ms-dns  77.88.8.8
require-mschap-v2
noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
nodefaultroute
debug
lock
proxyarp
connect-delay 5000
Конфиг xl2tpd.conf
Spoiler

Код: Выделить всё

[global]
ipsec saref = yes
force userspace = yes
[lns default]
ip range = 10.10.1.10-10.10.1.200
local ip = 10.10.1.1
refuse pap = yes
require authentication = yes
ppp debug = no
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes
Спасибо сказали:

Аватара пользователя
saikov
Сообщения: 183
ОС: Mageia

Re: xl2tpd+IPSec(racoon)+ppp

Сообщение saikov » 16.04.2018 10:02

Ни кто ни когда так не делал? Печаль.
Спасибо сказали:

Аватара пользователя
saikov
Сообщения: 183
ОС: Mageia

Re: xl2tpd+IPSec(racoon)+ppp

Сообщение saikov » 22.04.2018 14:46

Проблема решена. Наложил патч и пересобрал ipsec-tools Ну и в psk.key вместо IP указал *

Код: Выделить всё

cat ipsec-tools-0.8.2-localconf.patch 
diff -uNr ipsec-tools-0.8.2/src/racoon/localconf.c ipsec-tools-0.8.2-1/src/racoon/localconf.c
--- ipsec-tools-0.8.2/src/racoon/localconf.c	2012-08-23 15:10:45.000000000 +0400
+++ ipsec-tools-0.8.2-1/src/racoon/localconf.c	2018-04-22 14:37:44.861029668 +0300
@@ -207,7 +207,8 @@
 		if (*p == '\0')
 			continue;	/* no 2nd parameter */
 		p--;
-		if (strncmp(buf, str, len) == 0 && buf[len] == '\0') {
+		if (strcmp(buf, "*") == 0 ||
+		    (strncmp(buf, str, len) == 0 && buf[len] == '\0')) {
 			p++;
 			keylen = 0;
 			for (q = p; *q != '\0' && *q != '\n'; q++)
Спасибо сказали:

Вернуться в «Администрирование для начинающих»