L2TP/IPsec (openswan) и Windows клиент

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.

Модераторы: SLEDopit, Модераторы разделов

Аватара пользователя
Disova
Сообщения: 59
ОС: Debian, CentOS

L2TP/IPsec (openswan) и Windows клиент

Сообщение Disova »

Всем доброго времени суток. Есть такая картина:

LAN (192.168.0.0/24) - Сервер Debian L2TP/IPsec (192.168.0.101) - NAT (87.65.43.21) - - - - - (12.34.56.78) NAT - Клиент Windows 7 (192.168.1.2)

Сервер работает в режиме транспорта, клиенты приходят с любого адреса

Код: Выделить всё

type=transport
dpd в конфиге включен

Код: Выделить всё

dpddelay=60
dpdtimeout=240
dpdaction=clear
Но в логах пишет

Код: Выделить всё

Dead Peer Detection (RFC 3706): not enabled because peer did not  it
И в IPsec тоже
# ipsec auto --status
12.34.56.78:4500 STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_EXPIRE in 20279s; newest ISAKMP; nodpd; idle; import:not set

Я так понимаю Windows не поддерживает Dead-Peer-Detect? Или его можно как-то включить?
Еще при включении aggrmode=yes на выходе имею main mode. Т.е. он тоже не работает, или я что-то не указал в конфигах?

Код: Выделить всё

000 #7: "L2TP-PSK-NAT"[2] 12.34.56.78:4500 STATE_QUICK_R2 (IPsec SA established); EVENT_SA_EXPIRE in 659s; newest IPSEC; eroute owner; isakmp#1; idle; import:not set
000 #7: "L2TP-PSK-NAT"[2] 12.34.56.78 esp.d2b7n610@12.34.56.78 esp.bec23781@192.168.0.101 ref=0 refhim=4294901761
000 #1: "L2TP-PSK-NAT"[2] 12.34.56.78:4500 STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_EXPIRE in 18807s; newest ISAKMP; nodpd; idle; import:not set
000

Полный конфиг
Spoiler

Код: Выделить всё

version 2.0

config setup
    listen=192.168.0.101
    nat_traversal=yes
    virtual_private=%v4:10.0.0.0/24
    oe=off
    protostack=netkey
    plutodebug="control"

conn L2TP-PSK-NAT
    leftsubnet=192.168.0.0/24
    rightsubnet=vhost:%no,%priv
#        aggrmode=yes
    also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
    type=transport
    authby=secret
    pfs=no
    rekey=no
    forceencaps=yes

# Dead-Peer-Detect
    dpddelay=60
    dpdtimeout=240
    dpdaction=clear

# настройки начинающиеся с left относятся к локальному узлу
    left=192.168.0.101
    leftprotoport=17/1701
    leftnexthop=%defaultroute

# все настройки начинающиеся с right относятся к удаленному узлу
    right=%any
    rightprotoport=17/%any
    rightid=%any
    rightnexthop=%defaultroute

# настройки алгоритмов шифрования и обмена ключами
    keyexchange=ike
    keyingtries=3

# set ikelifetime and keylife NOT to same defaults windows has
    ikelifetime=8h
    keylife=1h

# настройка запуска подключения
    auto=add


Заранее благодарен.
ride it you way
Спасибо сказали: