VPN. L2TP over IPsec. Подключение клиента
Подключение клиента L2TP/IPsec VPN.
Содержание
1 Linux
1.1 Gentoo
1.1.1 NetworkManager
- Откройте пользовательский интерфейс NetworkManager, затем:
- Перейдите в Сеть > VPN. Нажмите +.
- Выберите Протокол туннелирования уровня 2 (L2TP).
- Вы можете выбрать имя для VPN.
- Введите IP-адрес вашего VPN-сервера для шлюза.
- Введите имя пользователя VPN для имени пользователя.
- Щелкните правой кнопкой мыши ? в поле Пароль и выберите Сохранить пароль только для этого пользователя.
- Можете использовать Сохранить пароль для всех пользователей.
- Введите свой пароль VPN для пароля.
- Оставьте поле Домен NT пустым.
- Нажмите кнопку Настройки IPsec….
- Установите флажок Включить туннель IPsec для хоста L2TP.
- Оставьте поле ID шлюза пустым.
- Введите свой VPN IPsec PSK для общего ключа (preshared-key).
- Затем нажмите Add, чтобы сохранить информацию о VPN-подключении.
Взаимодействие с Strongswan
- По умолчанию strongswan собирается с поддержкой capabilities и возможностью запуска под непривилегированным пользователем.
- Однако в NetworkManager поддержка capabilities не настроена.
- В результате соединение не устанавливается.
- Решить проблему можно следующим образом:
- либо установить strongswan без поддержки capabilities и возможности запуска под непривилегированным пользователем:
1USE="-caps -non-root" emerge strongswan - либо собрать NetworkManager с поддержкой capabilities (см. https://gitlab.freedesktop.org/NetworkManager/NetworkManager/-/merge_requests/1053).
- либо установить strongswan без поддержки capabilities и возможности запуска под непривилегированным пользователем:
2 L2TP over IPSec через межсетевой экран с NAT
- Необходимо задать правила на межсетевом экране для трафика L2TP over IPSec VPN.
- IKE (UDP 500) — протокол обмена ключами. Без него IPSec не работает. Посредством этого протокола происходит согласование и обмен ключами. Пробрасывать нужно.
- NAT-T (UDP 4500) — протокол инкапсулирует IPSec в UDP пакеты, что позволяет проходить трафику через NAT. Без этого протокола пакет не дойдет до получателя, а будут потерян на первом же NAT устройстве. Пробрасывать нужно.
- ESP (protocol 50) — протокол обеспечивает шифрование, аутентификацию и целостность. Инкапсулируется в UDP. Пробрасывать не нужно.
- L2TP (UDP 1701) — протокол туннелирования. О нём знают только оконечные узлы туннеля IPSec. Инкапсулируется в IPSec.. Пробрасывать не нужно
Links to this note
Дмитрий Сергеевич Кулябов
Профессор кафедры теории вероятностей и кибербезопасности
Мои научные интересы включают физику, администрирование Unix и сетей.