PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : vpn l2tp ....



daemonb
12.04.05, 00:11
Hi Leute,

habe ein problem. Wollte mittels l2tp und ipsec (kernel based) mein WLAN absichern.
Irgendwie scheint er sich verbinden zu wollen, aber irgendwann schmeisst er ein timeout raus. Im Log steht nix aussagekräftiges ausser das er immer wieder das rekeying probiert....

Meine configs:

# racoon.conf
log debug;
path pre_shared_key "/etc/racoon/psk.txt";

listen {
isakmp 192.168.3.1 [500];
}

padding {
maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
}

remote anonymous {
exchange_mode aggressive,main;
doi ipsec_doi;
situation identity_only;
generate_policy on;
proposal_check obey;

proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group modp1024;
}
}

sainfo anonymous {
lifetime time 28800 sec;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}




# psk.txt
# IPv4/v6 addresses
192.168.3.2 test



# ipsec.conf
#!/usr/bin/setkey -f
flush;
spdflush;

spdadd 192.168.3.1[1701] 0.0.0.0/0[0] any -P out ipsec esp/transport//require;
spdadd 0.0.0.0/0[0] 192.168.3.1[1701] any -P in ipsec esp/transport//require;



# l2tpd.conf
[global]
port = 1701

[lns default]
ip range = 192.168.3.2 - 192.168.3.14
local ip = 192.168.3.1
require chap = yes
refuse pap = yes
require authentication = yes
hostname = LinuxVPNserver
ppp debug = yes
pppoptfile = /etc/ppp/options.l2tpd
length bit = yes


# Secrets for authentication using CHAP
# client server secret IP addresses
test * "test" 192.168.3.0/24
* test "test" 192.168.3.0/24


# options.l2tpd
ipcp-accept-local
ipcp-accept-remote
ms-dns 192.168.3.1
ms-wins 192.168.3.1
auth
crtscts
idle 1800
mtu 1400
mru 1400
nodefaultroute
nodetach
debug
lock
#proxyarp
connect-delay 5000

Das ergebnis dieser Konfiguration sieht im Log so aus:

firewall racoon: DEBUG: resend phase1 packet

Das kommt fortlaufend und irgendwann gibt es einen timeout. Hatte für l2tp auch schon andere ip's eingestellt, denke aber das er schon beim ipsec hängt.

Hoffe mir kann da jemand weiterhelfen.

bis denne

DaemonB

cane
12.04.05, 08:39
Nit L2TP kenne ich mich nicht aus.

Ich würde Dir empfehlen OpenVPN zu nutzen - wesentlich einfacher zu konfigurieren und genau so sicher. Zudem kannst Du OpenVPN unter Linux, Windows, BSD, Solaris, Mac OS X und anderen nutzen :)

mfg
cane

daemonb
12.04.05, 09:02
openvpn habe ich derzeit im Einsatz und habe massive probleme damit.
Mit meinem macosx laptop geht es ohne probleme, aber unter windowsXP geht es überhaupt nicht, bzw nur wenn ich openvpn installiere. Nach einem neustart hat er wieder massive Routingprobleme.
Ausserdem wollte ich die integrierten clients von windows und macos nutzen.
Openvpn ist zwar schön und gut, aber nur wenn es funktioniert....

cane
12.04.05, 11:26
aber unter windowsXP geht es überhaupt nicht, bzw nur wenn ich openvpn installiere. Nach einem neustart hat er wieder massive Routingprobleme.
Ausserdem wollte ich die integrierten clients von windows und macos nutzen.
Openvpn ist zwar schön und gut, aber nur wenn es funktioniert....

Natürlich mußt Du auf dem XP-Rechner OpenVPN installieren.
OpenVPN nutzt ein anderes Protokoll und spricht kein L2TP/IPSEC!

Schau mal hier und poste falls noch Fehler auftreten:
http://openvpn.se/documentation.html

mfg
cane

daemonb
12.04.05, 13:11
habe doch geschrieben das es immer erst nach einer neuinstallation funktioniert und dann auch nur wenn es gerade lust hat.

Unter MacOSX geht der client ohne probleme.
Die Implementierung in l2tp ist imho die bessere Variante, da man keine zusätzliche clients braucht.

Bin ja auch nicht gerade anfänger in sowas und habe schon vor einigen jahren einiges mit freeswan gemacht.

Openvpn ist kein schlechtes tool, aber hängt mir zu sehr vom gutdünken von MS und den entwicklern ab.
Sage nur SP2,Firewall probleme etc....

Also wenn mir einer mit l2tp weiterhelfen könnte wäre ich mehr bedient, da ich mich inzwischen damit angefunden habe das es für mein openvpn problem keine lösung gibt, bzw das ich keine lust habe wegen einem laptop danach zu suchen, welche software dazwischenfunkt. Vorallem da ich da nicht viel machen kann, da das betreffende gerät mehr oder weniger täglich im Produktiveinsatz genutzt wird.

bis denne

DaemonB