В данной пошаговой инструкции описан способ реализации защищенного VPN соединения по протоколу L2TP через IPSec. Перед началом настойки удостоверьтесь, что у вас есть рабочее соединение с интернетом по какому-либо другому протоколу для установки требуемых пакетов. Возможность автономной установки пакетов в данной инструкции не рассматривается.

Протокол IPSec имеет два режима - транспортный и туннельный. Туннельный режим хорошо работает за NAT, но сложнее, чем транспортный. Сервер для туннельного режима доступен по адресу «svpn-ipsectunnel.mephi.ru» (85.143.112.49), и для транспортного, соответственно, «svpn-ipsectransport.mephi.ru» (85.143.112.48).

1. Проверьте наличие поддержки IPSec в вашем ядре: # firewall options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=1000 options IPFIREWALL_DEFAULT_TO_ACCEPT options IPFIREWALL_FORWARD options IPFIREWALL_NAT options IPDIVERT options LIBALIAS # IPSEC device crypto device cryptodev device enc options IPSEC options IPSEC_DEBUG options IPSEC_FILTERTUNNEL options IPSEC_NAT_T Конфигурационный файл ядра находится в /usr/src/sys/<архитектура>/conf/<имя ядра> Если некоторые опции не поддерживаются, вам необходимо переконфигурировать ядро ОС.
2. Установите порт ipsec-tools: # whereis ipsec-tools ipsec-tools: /usr/ports/security/ipsec-tools # cd /usr/ports/security/ipsec-tools # make Переконфигурировать порт не надо, просто выберите ОК в меню конфигурации. # make install
3. Проверьте, установлен ли у вас демон mpd5: # whereis mpd5 mpd5: /usr/local/sbin/mpd5 /usr/local/man/man8/mpd5.8.gz /usr/ports/net/mpd5 Если он не уставлен, скомпилируйте и установите его: # whereis mpd5 mpd5: /usr/ports/net/mpd5 # cd /usr/ports/net/mpd5 # make # make install
4. Откройте в интернет-браузере ресурс svpn.mephi.ru, выберите произвольный логин/пароль и сохраните сертификат. Выберите формат tar. Пусть, пользователь имеет логин omg и пароль smb.
5. Далее, необходимо извлечь сертификаты стандарта X.509 из архива и переместить их в директорию /etc/racoon/certs # tar -xvf omg.tar # mkdir /usr/local/etc/racoon # mkdir /usr/local/etc/racoon/certs # mv certs/useromg.crt /usr/local/etc/racoon/certs # mv keys/useromg.key /usr/local/etc/racoon/certs
6. Скопируйте файл /usr/local/etc/racoon/racoon.conf # cp /usr/ports/security/ipsec-tools/work/ipsec-tools-0.8.0/src/racoon/samples/racoon.conf /usr/local/etc/racoon и заполните его следующим содержимым: log notify; path pre_shared_key "/usr/local/etc/racoon/psk.txt"; path certificate "/usr/local/etc/racoon/certs"; remote anonymous { exchange_mode main; certificate_type x509 "useromg.crt" "useromg.key"; verify_cert off; nat_traversal on; generate_policy on; proposal { encryption_algorithm blowfish; hash_algorithm sha1; authentication_method rsasig; dh_group modp1024; } } sainfo anonymous { encryption_algorithm blowfish; authentication_algorithm hmac_sha1; compression_algorithm deflate; }
7. Откройте файл /etc/*ipsec-tools.conf в текстовом редакторе и заполните его следующим содержимым (случай туннельного режима): flush; spdflush; spdadd 0.0.0.0/0 85.143.112.49/32[1701] udp -P out ipsec esp/tunnel/192.168.57.1-85.143.112.49/require; spdadd 85.143.112.49/32[1701] 0.0.0.0/0 udp -P in ipsec esp/tunnel/85.143.112.49-192.168.57.1/require; или (случай транспортного режима): flush; spdflush; spdadd 0.0.0.0/0 85.143.112.48/32[1701] udp -P out ipsec esp/transport/192.168.57.1-85.143.112.48/require; spdadd 85.143.112.48/32[1701] 0.0.0.0/0 udp -P in ipsec esp/transport/85.143.112.48-192.168.57.1/require; Далее в тексте по умолчанию приведены примеры конфигурационных файлов и команд для туннельного режима. Для транспортного режима необходимо заменить адрес «svpn-ipsectunnel.mephi.ru» (85.143.112.49) на «svpn-ipsectransport.mephi.ru» (85.143.112.48).
8. Отправьте письмо с просьбой выдать логин/пароль для L2TP подключения на voip@mephi.ru. Пусть, вы получили логин foo и пароль bar (Не путайте с omg / smb !)
9. Откройте в текстовом редакторе файл /usr/local/etc/mpd5/mpd.conf и заполните его следующим содержимым: default: load l2tp_client l2tp_client: create bundle static B1 set iface up-script /usr/local/etc/mpd5/up.sh set iface down-script /usr/local/etc/mpd5/down.sh create link static L1 l2tp set link action bundle B1 set auth authname foo set auth password bar set link max-redial 5 set link accept chap set link no pap eap set link mtu 1400 set link keep-alive 20 75 set l2tp peer svpn-ipsectunnel.mephi.ru #or set l2tp peer svpn-ipsectransport.mephi.ru open Если файл ещё не существует, его следует создать. Будьте предельно внимательны с синтаксисом файла! Парсер чувствителен к пробелам, табуляции и порядку строк.
10. Создайте сетевой интерфейс с натированием: # ifconfig lo0 alias 192.168.57.1 # ipfw add nat 123 ip from 192.168.57.1 to any out xmit re0 # ipfw add nat 123 ip from any to nay in recv re0 # ipfw nat 123 config if re0
11. Создайте файл # touch /usr/local/etc/mpd5/up.sh со следующим содержимым: #!/bin/sh route add -net 10.0.57.0/24 "$4" Это скрипт, позволяющий автоматически настраивать таблицу маршрутизации для вашей системы при запуске mpd5. Аналогично, создайте файл # touch /usr/local/etc/mpd5/down.sh со следующим содержимым: #!/bin/sh route del 10.0.57.0
12. Сделайте скрипты исполняемыми # chmod +x /usr/local/etc/mpd5/up.sh # chmod +x /usr/local/etc/mpd5/down.sh
13. Запустите демоны: # setkey -f /etc/ipsec-tools.conf # racoon -F -dddd -vvvv # mpd5
14. Проверьте доступность шлюза из vpn сети: # ping 10.0.57.1 Если сервер доступен, то настройка соединения прошла успешно.