форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (VPN)
Изначальное сообщение		[ Отслеживать ]

"IPSec-L2TP: Openswan (linux server) <-> Window 7 (client)"	+/–
Сообщение от grgdvo (ok) on 28-Фев-12, 17:44
Добрый день! Реализую удаленный доступ с использованием связки IPSec-L2TP. В наличии: 1. Linux Server (gentoo) с установленным Openswan 2.6.37 2. Windows 7 Home Premium SP1 В процессе реализации стараюсь (сколько возможно) придерживаться вот этих мануалов: http://www.jacco2.dds.nl/networking/openswan-l2tp.html http://www.jacco2.dds.nl/networking/vista-openswan.html http://www.jacco2.dds.nl/networking/win2000xp-openswan.html Во всяком случае сколько я не искал информации по IPSec-L2TP, в конце-концов, приходил к этим страницам или страницам, с которых есть ссылки на эти страницы. :) Вообщем все твердят - читайте и все получится. Читаю! Но не получается одним момент. Сначала настроил работу IPSec-L2TP с использованием Preshared Key - ВСЕ РАБОТАЕТ! Теперь перешел на схему с использованием сертификатов - НЕ РАБОТАЕТ! В логах сервера такая ошибка: Feb 29 00:12:29 server pluto[13528]: "l2tp-cert"[1] A.B.C.D #1: Main mode peer ID is ID_DER_ASN1_DN: 'C=AAA, ST=BBB, L=CCC, O=DDD, OU=EEE, CN=MyUserCName' Feb 29 00:12:29 server pluto[13528]: "l2tp-cert"[1] A.B.C.D #1: no suitable connection for peer 'C=AAA, ST=BBB, L=CCC, O=DDD, OU=EEE, CN=MyUserCName' Feb 29 00:12:29 server pluto[13528]: "l2tp-cert"[1] A.B.C.D #1: sending encrypted notification INVALID_ID_INFORMATION to A.B.C.D:500 Суть ошибки, как мне кажется, я понимаю. У меня в ipsec.conf такие параметры для Left и Right, которые не соответствуют тому, что реально происходит в соединении, соответственно IPSec не может создать SA со всеми вытекающими... Вот ipsec.conf. Его прототип был взят из /etc/ipsec/examples, в который были внесены минимальные изменения conn l2tp-cert     # general     type=transport     left=%defaultroute     leftprotoport=17/1701     right=%any     rightsubnet=vhost:%no,%priv     rightprotoport=17/%any     # automatic keying     auto=add     authby=rsasig     leftid=%fromcert     leftrsasigkey=%cert     leftcert=/etc/ipsec.d/certs/server.cert.pem     rightid=%any     rightrsasigkey=%cert     rightca=%same CA создан на основе OpenSSL стандартно: CA.sh -newca -newreq -sign ... -newreq -sign. Сертификат пользователя экспортирован в Windows-клиент (как написано в мануалах, указанных выше) без ошибок. Вопросов несколько: 1. Подскажите, где мог ошибиться? 2. Может, кто поделится конфигом? Или ткнет носом в уже рабочий. К сожалению гугль пока не помогает. ps. rightid=%any - это я уже позже добавлял, на ошибку это не повлияло
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "IPSec-L2TP: Openswan (linux server) <-> Window 7 (client)"	+/–
Сообщение от dima (??) on 29-Фев-12, 05:30
все это бессмысленно. 99.9% клиентов винды - приходят из-за NAT и IPSec идет лесом для freebsd есть хаки игрНоить  source-IP  для IPSec, но это уже становится не ipsec ставь openvpn
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "IPSec-L2TP: Openswan (linux server) <-> Window 7 (client)"	+/–
	Сообщение от grgdvo (ok) on 29-Фев-12, 05:50
	> все это бессмысленно. > 99.9% клиентов винды - приходят из-за NAT > и IPSec идет лесом Ну с preshared key же все работало отлично (win7)!! В том числе и из-за NAT (там ключик с заумным названием AssumeUDPEncapsulationContextOnSendRule=2 надо ставить). Более того, пока сейчас разбираюсь у меня и сервер за NAT'ом. Вряд ли все так грустно, что из за замены метода аутентификации, вообще не работает. Во всяком случае в моей ошибке я сейчас вижу, что сервер говорит "no suitable connection", то есть чего-то не хватает или что-то лишнее в ipsec.conf. Вопрос Что? Можно ли на рабочий пример посмотреть? > для freebsd есть хаки игрНоить  source-IP  для IPSec, но это > уже становится не ipsec Это не осилю сейчас. Вообще с freebsd мало знаком. > ставь openvpn Берегу как запасной вариант.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "IPSec-L2TP: Openswan (linux server) <-> Window 7 (client)"	+/–
	Сообщение от Serge (??) on 29-Фев-12, 06:55
	> 99.9% клиентов винды - приходят из-за NAT > и IPSec идет лесом NAT-T уже отменили????? А мужики-то и не знают. > для freebsd есть хаки игрНоить  source-IP  для IPSec, но это > уже становится не ipsec вау... > ставь openvpn пожалуй, единственное заявление которое не полный бред, но к теме не относится. PS. по теме  - извини, что б ответить надо поднимать у себя тестовый сетап, а желания никакого нет. Проблему ты понимаешь правильно, значит докопаешься до сути. В качестве сервера я бы посоветовал strongswan  - он  активно развивается да и документация у него получше.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "IPSec-L2TP: Openswan (linux server) <-> Window 7 (client)"	+/–
Сообщение от тень_pavel_simple on 29-Фев-12, 07:23
>[оверквотинг удален] >  rightca=%same > CA создан на основе OpenSSL стандартно: CA.sh -newca -newreq -sign ... -newreq > -sign. Сертификат пользователя экспортирован в Windows-клиент (как написано в мануалах, > указанных выше) без ошибок. > Вопросов несколько: > 1. Подскажите, где мог ошибиться? > 2. Может, кто поделится конфигом? Или ткнет носом в уже рабочий. К > сожалению гугль пока не помогает. > ps. rightid=%any - это я уже позже добавлял, на ошибку это не > повлияло лично я делал на базе netkey -- т.е. с использованием racoon http://www.ipsec-howto.org/ http://www.howtoforge.com/racoon_roadwarrior_vpn http://vouters.dyndns.org/tima/Linux-Openswan-Setting_up_an_... собственно основная ошибка при настрjйке windows-клиента - это импорт сертификата в храyилище пользователя и не машины.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "IPSec-L2TP: Openswan (linux server) <-> Window 7 (client)"	+/–
Сообщение от Loly on 29-Фев-12, 13:43
> Добрый день! > Суть ошибки > Feb 29 00:12:29 server pluto[13528]: "l2tp-cert"[1] A.B.C.D #1: no suitable connection > for peer 'C=AAA, ST=BBB, L=CCC, O=DDD, OU=EEE, CN=MyUserCName' > Feb 29 00:12:29 server pluto[13528]: "l2tp-cert"[1] A.B.C.D #1: sending encrypted notification > INVALID_ID_INFORMATION to A.B.C.D:500 Читать документацию на официальном сайте! http://git.openswan.org/cgi-bin/cgit/openswan/tree/programs/... conn l2tp-X.509     authby=rsasig     pfs=no     auto=add     rekey=no     dpddelay=10     dpdtimeout=90     dpdaction=clear     ikelifetime=8h     keylife=1h     type=transport     #     left=%defaultroute     leftid=%fromcert     leftrsasigkey=%cert     leftcert=/etc/ipsec.d/certs/YourGatewayCertHere.pem     leftprotoport=17/1701     #     # The remote user.     #     right=%any     rightca=%same     rightrsasigkey=%cert     rightprotoport=17/%any     rightsubnet=vhost:%priv,%no У Вас проблема с сертификатами. PS. Предыдущим постерам: не знаете что ответить, не отвечайте вообще (не надо лечить людей на тему поломался BMW иди и купи Mersedes).
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	6. "IPSec-L2TP: Openswan (linux server) <-> Window 7 (client)"	+/–
	Сообщение от grgdvo (ok) on 01-Мрт-12, 04:50
	> Читать документацию на официальном сайте! > http://git.openswan.org/cgi-bin/cgit/openswan/tree/programs/... Пременого благодарен всем за предоставленные ответы. Углубился в чтение.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема