В данной пошаговой инструкции описаны два различных способа реализации защищенного VPN соединения: по протоколам L2TP и PPTP. Рекомендуется использовать L2TP. Перед началом настойки удостоверьтесь, что у вас есть рабочее соединение с интернетом по какому-либо другому протоколу для установки требуемых пакетов. Возможность автономной установки пакетов в данной инструкции не рассматривается.

• Часть I. Настрока L2TP через xl2tpd
• Часть II. Настрока L2TP через OpenL2TP

Часть I. Настрока L2TP через xl2tpd

1. Откройте терминал с правами суперпользователя (root). Если в вашей системе это запрещено из соображений безопасности, вам следует выполнять все действия с использованием утилиты sudo.
2. Проверьте наличие поддержки PPP в вашем ядре: CONFIG_PPP=y Это можно сделать командой: cat /boot/config-`uname -r` | grep CONFIG_PPP Если некоторые опции не поддерживаются, вам необходимо переконфигурировать ядро ОС.
3. Проверьте наличие «ppp» устройства. При отсутствии его необходимо создать: # cd /dev # ls -ld ppp # mknod /dev/ppp c 108 0 # chmod 660 ppp
4. Установите пакет: # emerge xl2tpd
5. Откройте в текстовом редакторе файл /etc/xl2tpd/xl2tpd.conf и допишите в конец: [global] access control = yes auth file = /etc/ppp/pap-secrets [lac mephi] lns = vpn.mephi.ru redial = yes redial timeout = 10 refuse chap = yes require authentication = no ppp debug = yes pppoptfile = /etc/ppp/options.xl2tpd require pap = yes autodial = yes name = foo Здесь и далее место foo следует указать заголовок email адреса вашей служебной почты, а вместо bar - пароль к ней. Т.е. пример приведен для сотрудника, имеющего почтовый адрес foo@mephi.ru с паролем bar.
6. Откройте в текстовом редакторе файл /etc/ppp/options.xl2tpd и заполните его следующим содержимым: unit 0 remotename l2tp ipparam mephi connect /bin/true mru 1400 mtu 1400 nodeflate nobsdcomp persist maxfail 0 nopcomp noaccomp defaultroute replacedefaultroute debug noproxyarp name foo require-pap refuse-eap refuse-chap refuse-mschap refuse-mschap-v2 noauth Если файл ещё не существует, его следует создать.
7. Допишите в конец файла /etc/ppp/pap-secrets foo * bar
8. Проверьте, загружен ли у вас модуль ядра ppp-generic комндой lsmod. Если нет, загрузите его # lsmod | grep ppp-generic # # modprobe ppp-generic
9. Создайте файл «/etc/ppp/ip-up.d/mephivpn.sh»: cat <<EOF > /etc/ppp/ip-up.d/mephivpn.sh #!/bin/bash PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin DEFAULT_GW=$(netstat -nr | awk '{if($1=="0.0.0.0" && $3=="0.0.0.0") print $2}' | head -1) route add -host vpn.mephi.ru gw "$DEFAULT_GW" route add -net 0.0.0.0/1 gw $5 route add -net 128.0.0.0/1 gw $5 EOF Аналогично, создайте cat <<EOF > /etc/ppp/ip-down.d/mephivpn.sh #!/bin/bash route del -net 0.0.0.0/1 route del -net 128.0.0.0/1 route del -host vpn.mephi.ru EOF
10. Сделайте скрипты исполняемыми: # chmod +x /etc/ppp/ip-up.d/mephivpn.sh # chmod +x /etc/ppp/ip-down.d/mephivpn.sh
11. Создайте директорию для контролирующего сокета: # mkdir -p /var/run/xl2tpd
12. Запустите демон: # xl2tpd -D
13. Проверьте таблицу маршрутизации командой # route -n. Она должна выглядеть примерно так: # route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 192.168.127.255 128.0.0.0 UG 0 0 0 ppp0 0.0.0.0 10.4.33.1 0.0.0.0 UG 0 0 0 eth0 10.4.33.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 128.0.0.0 192.168.127.255 128.0.0.0 UG 0 0 0 ppp0 192.168.127.255 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0 194.67.76.7 10.4.33.1 255.255.255.255 UGH 0 0 0 eth0 Где вместо 10.4.33.1 должен быть указан ваш локальный шлюз, а вместо 10.4.33.0 - ваша локальная сеть.
14. Проверьте доступность PtP хоста # ping $(netstat -nr | awk '{if($1=="0.0.0.0" && $3=="128.0.0.0") print $2}' | head -1) PING 192.168.127.255 (192.168.127.255) 56(84) bytes of data. 64 bytes from vpn.mephi.ru (192.168.127.255): icmp_req=1 ttl=63 time=0.745 ms 64 bytes from vpn.mephi.ru (192.168.127.255): icmp_req=2 ttl=63 time=0.617 ms 64 bytes from vpn.mephi.ru (192.168.127.255): icmp_req=3 ttl=63 time=0.650 ms 64 bytes from vpn.mephi.ru (192.168.127.255): icmp_req=4 ttl=63 time=0.606 ms ^C --- vpn.mephi.ru ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 3003ms rtt min/avg/max/mdev = 0.606/0.654/0.745/0.060 ms Если хост доступен, то настройка соединения прошла успешно.

Часть II. Настрока L2TP через OpenL2TP

1. Откройте терминал с правами суперпользователя (root). Если в вашей системе это запрещено из соображений безопасности, вам следует выполнять все действия с использованием утилиты sudo.
2. Проверьте наличие поддержки PPP over L2TP в вашем ядре: CONFIG_PPP=y CONFIG_PPPOL2TP=y Это можно сделать командой: cat /boot/config-`uname -r` | grep ИМЯ_ПЕРЕМЕННОЙ , например, cat /boot/config-`uname -r` | grep CONFIG_PPP Если некоторые опции не поддерживаются, вам необходимо переконфигурировать ядро ОС.
3. Проверьте наличие «ppp» устройства. При отсутствии его необходимо создать: # cd /dev # ls -ld ppp # mknod /dev/ppp c 108 0 # chmod 660 ppp
4. Проверьте, загружен ли у вас модуль ядра l2tp_ppp комндой lsmod. Если нет, загрузите его: # lsmod | grep l2tp_ppp || ( echo 'l2tp_ppp' >>/etc/modules; modprobe l2tp_ppp; echo 'loaded' )
5. Установите пакет layman: # emerge layman
6. Допишите в файл /etc/make.conf # echo "source /var/lib/layman/make.conf" >> /etc/make.conf
7. Обновите список оверлеев: # layman --fetch
8. Подключите оверлей bircoph: # layman -a bircoph
9. Установите или обновите пакет OpenL2TP: # USE='rpc client examples doc stats' emerge openl2tp
10. Создайте файл «/etc/ppp/ip-up.d/mephivpn.sh»: cat <<EOF > /etc/ppp/ip-up.d/mephivpn.sh #!/bin/bash PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin DEFAULT_GW=$(netstat -nr | awk '{if($1=="0.0.0.0" && $3=="0.0.0.0") print $2}' | head -1) route add -host vpn.mephi.ru gw "$DEFAULT_GW" route add -net 0.0.0.0/1 gw $5 route add -net 128.0.0.0/1 gw $5 EOF Аналогично, создайте cat <<EOF > /etc/ppp/ip-down.d/mephivpn.sh #!/bin/bash route del -net 0.0.0.0/1 route del -net 128.0.0.0/1 route del -host vpn.mephi.ru EOF
11. Сделайте скрипты исполняемыми: # chmod +x /etc/ppp/ip-up.d/mephivpn.sh # chmod +x /etc/ppp/ip-down.d/mephivpn.sh
12. Запустите демон: # /etc/init.d/openl2tpd start
13. Запустите утилиту настройки OpenL2TP: # l2tpconfig > system modify deny_remote_tunnel_creates=yes tunnel_establish_timeout=60 session_establish_timeout=30 tunnel_persist_pend_timeout=60 session_persist_pend_timeout=30 > peer profile modify profile_name=default lac_lns=lac > ppp profile modify profile_name=default mru=1400 mtu=1400 default_route=no proxy_arp=no auth_pap=no auth_chap=no auth_mschapv1=no auth_mschapv2=yes auth_eap=no > tunnel create tunnel_name=mephi dest_ipaddr=svpn-ipsectunnel.mephi.ru use_udp_checksums=off persist=yes > session create tunnel_name=mephi session_name=mephi user_name=foo user_password=bar Вместо foo следует указать заголовок email адреса вашей служебной почты, а вместо bar - пароль к ней. Т.е. пример приведен для сотрудника, имеющего почтовый адрес foo@mephi.ru с паролем bar. Проверьте состояние соединения: > system show status L2TP service status:- tunnels: 1, sessions: 1 > user list TunId SesId User Create Time 17767 9158 foo Thu Jul 5 13:45:10 2012 > session show tunnel_id=17767 session_id=9158 Session 9158 on tunnel 17767:- type: LAC Incoming Call, state: ESTABLISHED created at: Jul 5 16:22:18 2012 created by admin: YES, peer session id: 17432 ppp user name: foo ppp interface name: ppp0 data sequencing required: O use data sequence numbers: OFF trace flags: NONE framing types: SYNC ASYNC bearer types: DIGITAL ANALOG connect speed: 1000000 use ppp proxy: NO Peer configuration data:- data sequencing required: OFF framing types: SYNC bearer types: ANALOG connect speed: 54000000 data rx packets: 593, rx bytes: 608676, rx errors: 1 data tx packets: 135, tx bytes: 40145, tx errors: 0 Если в строке state: указано ESTABLISHED, то конфигурирование пакета прошло успешно. Сохраните файл с настройками: > config save file=/etc/openl2tpd.conf > exit # После этого таблица маршрутизации должна выглядеть примерно так: # route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 192.168.127.255 128.0.0.0 UG 0 0 0 ppp0 0.0.0.0 10.4.33.1 0.0.0.0 UG 0 0 0 eth0 10.4.33.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 128.0.0.0 192.168.127.255 128.0.0.0 UG 0 0 0 ppp0 192.168.127.255 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0 194.67.76.7 10.4.33.1 255.255.255.255 UGH 0 0 0 eth0 Где вместо 10.4.33.1 должен быть указан ваш локальный шлюз, а вместо 10.4.33.0 - ваша локальная сеть.
14. Проверьте доступность PtP хоста # ping $(netstat -nr | awk '{if($1=="0.0.0.0" && $3=="128.0.0.0") print $2}' | head -1) PING 192.168.127.255 (192.168.127.255) 56(84) bytes of data. 64 bytes from vpn.mephi.ru (192.168.127.255): icmp_req=1 ttl=63 time=0.745 ms 64 bytes from vpn.mephi.ru (192.168.127.255): icmp_req=2 ttl=63 time=0.617 ms 64 bytes from vpn.mephi.ru (192.168.127.255): icmp_req=3 ttl=63 time=0.650 ms 64 bytes from vpn.mephi.ru (192.168.127.255): icmp_req=4 ttl=63 time=0.606 ms ^C --- vpn.mephi.ru ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 3003ms rtt min/avg/max/mdev = 0.606/0.654/0.745/0.060 ms Если хост доступен, то настройка соединения прошла успешно.