L2TP: Unterschied zwischen den Versionen

Aus xinux.net
Zur Navigation springen Zur Suche springen
Zeile 1: Zeile 1:
 
=Server=
 
=Server=
 
+
*[[xl2tpd-openswan]]
==Installation==
 
apt-get install  xl2tpd ppp openswan
 
==Openswan==
 
===ipsec.conf-default===
 
Man muss beachten, dass l2tp mit der verage eine leftsubnets in der %default-section nicht zurechtkommt! Diese Parameter müssen entfernt werden.
 
Also falls ihr so etwas in eurer .conf drin habt:
 
<pre>
 
conn %default
 
        authby=secret
 
        left=213.183.75.138
 
        leftsubnet=172.20.20.0/24
 
        ike=aes256-sha1-modp1024
 
        esp=aes256-sha1
 
        left=%defaultroute
 
        auto=start
 
        pfs=yes
 
</pre>
 
bitte ändern in:
 
<pre>
 
conn %default
 
        authby=secret
 
        ike=aes256-sha1-modp1024
 
        esp=aes256-sha1
 
        auto=start
 
        pfs=yes
 
</pre>
 
 
 
===ipsec.conf complete===
 
cat /etc/ipsec.conf
 
version 2.0
 
config setup
 
    nat_traversal=yes
 
    virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
 
    oe=off
 
    protostack=netkey
 
conn l2tp
 
    authby=secret
 
    pfs=no
 
    auto=add
 
    type=transport
 
    left=XXX.XXX.XXX.XXX
 
    leftprotoport=17/1701
 
    right=%any
 
    rightprotoport=17/%any
 
 
 
cat /etc/ipsec.secrets
 
XXX.XXX.XXX.XXX  %any : PSK "1234"
 
 
 
==XL2TP==
 
cat /etc/xl2tpd/xl2tpd.conf
 
 
 
[global]
 
#important when more then one ips on the nic
 
#listen-addr = XXX.XXX.XXX.XXX
 
 
ipsec saref = yes
 
debug avp = yes
 
debug network = yes
 
debug state = yes
 
debug tunnel = yes
 
 
[lns default]
 
ip range = 10.1.2.2-10.1.2.255
 
local ip = 10.1.2.1
 
refuse chap = yes
 
refuse pap = yes
 
require authentication = yes
 
ppp debug = yes
 
pppoptfile = /etc/ppp/options.xl2tpd
 
length bit = yes
 
 
 
==PPP==
 
cat /etc/ppp/options.xl2tpd
 
 
require-mschap-v2
 
ms-dns 192.168.240.21
 
ms-dns 192.168.240.22
 
asyncmap 0
 
auth
 
crtscts
 
lock
 
hide-password
 
modem
 
#for ppp3
 
unit 3
 
debug
 
name l2tpd
 
proxyarp
 
lcp-echo-interval 30
 
lcp-echo-failure 4
 
 
 
cat /etc/ppp/chap-secrets
 
 
xinux        l2tpd      "geheimes-passwort"       *
 
#l2tpd        xinux   "geheimes-passwort"       *
 
  
 
=Starten=
 
=Starten=

Version vom 5. Juli 2017, 14:05 Uhr

Server

Starten

/etc/init.d/ipsec restart 
/etc/init.d/xl2tpd restart

NAT

Um die IPs direkt ins Netz zu natten kann man wie folgt vorgehen: Es werden IP Adressen an die interne Schnittstelle angebunden und dann einfach genattet.

Beispiel: 

##VORBEREITUNG FUER NAT
iptables -A OUTPUT -j ACCEPT -o ppp+ -m state --state NEW
#iptables -A INPUT -j ACCEPT -i ppp+ -m state --state NEW
for IP in $(seq 221 240); do #da die IP Range angeben
iptables -A INPUT -s 172.28.16.$IP -i ppp+   -m state --state NEW  -j ACCEPT #Hier wird eine INPUT Regel für die l2tp IP erstellt
iptables -A FORWARD -s 172.28.16.$IP -i ppp+   -m state --state NEW  -j ACCEPT #Hier wird eine FORWARD Regel für die l2tp IP erstellt
ip addr add 172.20.20.$IP dev $LANDEV > /dev/null 2>&1 #Hier werden IPs aus dem internen Netz reserviert
iptables -t nat -A POSTROUTING -j SNAT -o $LANDEV -s 172.20.20.$IP --to 172.28.16.$IP #NAT
iptables -t nat -A PREROUTING  -j DNAT -i $LANDEV -d 172.28.16.$IP --to 172.20.20.$IP #NAT
done

wichtig ist auch, die IP zu maskieren 

#iptables -t nat -A POSTROUTING -s 172.28.16.0/24 -o $WANDEV   -j maskiere

und den port 1701 freizuschalten: 

iptables -A INPUT -i $WAN -p udp --dport 1701  -m state --state NEW  -j ACCEPT

Client

Installation

apt-get install  xl2tpd ppp openswan

ipsec

cat /etc/ipsec.conf
version	2.0	# conforms to second version of ipsec.conf specification
config setup
	dumpdir=/var/run/pluto/
	protostack=netkey
	nat_traversal=yes
	virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v6:fd00::/8,%v6:fe80::/10
	oe=off
       
conn  yourconn
	authby=secret
      pfs=no
      auto=add
      keyingtries=3
      dpddelay=30
      dpdtimeout=120
      dpdaction=clear
      rekey=yes
      ikelifetime=8h
      keylife=1h
      type=transport
      left=%defaultroute
      leftprotoport=17/1701
      right=yourvpnserver.com
      rightprotoport=17/1701

cat /etc/ipsec.secrets
%any yourvpnserver.com : PSK "pissespisse"

xl2tp

cat /etc/xl2tpd/xl2tpd.conf
[lac vpn-connection]
lns = yourvpnserver.com
ppp debug = yes
pppoptfile = /etc/ppp/options.l2tpd.client
length bit = yes

ppp

cat /etc/ppp/options.l2tpd.client 
ipcp-accept-local
ipcp-accept-remote
refuse-eap
require-mschap-v2
noccp
noauth
idle 1800
mtu 1410
mru 1410
defaultroute
usepeerdns
debug
lock
connect-delay 5000
name xinux
password suxer

Start Script

#!/bin/bash
 case $1 in
start)
 /etc/init.d/ipsec restart
 sleep 1
 ipsec auto --up yourconn
 sleep 1
 /etc/init.d/xl2tpd start
 sleep 1
 echo "c vpn-connection" > /var/run/xl2tpd/l2tp-control
 sleep 5
 ip route add 192.168.240.0/21 via 172.28.6.1
;;
stop)
 ip route del 192.168.240.0/21
 echo "d vpn-connection" > /var/run/xl2tpd/l2tp-control
 /etc/init.d/xl2tpd stop
 ipsec auto --down yourconn
 /etc/init.d/ipsec stop
;;
esac


Windows Client

  • -> Startmenü
  • -> Systemsteuerung


(Bei Anzeige: Kategorie)

  • -> Netzwerk und Internet
    -> Netzwerkstatus- und Aufgaben anzeigen
    -> Neue Verbindung oder neues Netz einrichten
    -> Verbindung mit dem Arbeitsplatz herstellen
    -> (Nein, eine neue Verbindung erstellen)
    -> Die Internetverbindung (VPN) verwenden
    -> Internetadresse + Name eingeben
    -> "Jetzt nicht verbinden, nur für spätere Verwendung einrichten." auswählen
    -> "Weiter" klicken
    -> Benutzername + PW und
    -> "Dieses Kennwort speichern" auswählen
    -> Erstellen
    -> Fenster kann geschlossen werden
    -> Verbindung mit einem Netzwerk herstellen (die VPN müsste erscheinen)
    -> Rechtsklick auf die VPN
    -> Eigentschaften
    -> Reiter "Netzwerk" auswählen
    -> Alles abwählen bis auf "Client für Microsoft-Netzwerke" und "Internetprotokoll Version 4"
    -> Reiter "Sicherheit" VPN-Typ: Layer 2 Tunneling Protocol...
    -> erweiterte Einstellungen
    -> Vorinstallierten Schlüssel verwenden
    -> verbinden

VPN-Verbindung dauerhaft freischalten: Unter: (regedit) HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon dort ist dem Wert "KeepRasConnections" als Datentyp REG_SZ der Zahlenwert "1" zuzuweisen.

Bebilderte Anleitung:

  • windows7
http://www.hideipvpn.com/2010/03/howto-windows-7-ipsecl2tp-vpn-setup-tutorial/
  • windows xp
http://tu-dresden.de/die_tu_dresden/zentrale_einrichtungen/zih/dienste/datennetz_dienste/vpn/l2tp_ipsec_vpn/howto_l2tp_ipsec_vpn_windows_xp
  • iphone
http://tu-dresden.de/die_tu_dresden/zentrale_einrichtungen/zih/dienste/datennetz_dienste/vpn/l2tp_ipsec_vpn/howto_l2tp_ipsec_vpn_iphone/index_html
  • ipad
http://wiki.securepoint.de/index.php/IPAD_und_L2TP
  • android 2.3
http://tu-dresden.de/die_tu_dresden/zentrale_einrichtungen/zih/dienste/datennetz_dienste/vpn/doku_vpn_ger_android/document_view


Quellen:

Abgerufen von „https://xinux.net/index.php?title=L2TP&oldid=13637