|
|
Re: lug-bg: VPN
- Subject: Re: lug-bg: VPN
- From: Georgi Ivanov <genius@xxxxxxxxxxxxxx>
- Date: Thu, 04 Nov 2004 11:36:12 +0200
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Имам още един въпрос. През този VPN даваш възможност на клиентите да
достъпват някаква вътрешна мрежа
или ще раздаваш интернет през него ако е второто ти препоръчвам да
направиш VPN-a с транспортна схема по следниа начин:
openswan(strongswan) +L2TPD
openswan ipse.conf
version 2.0
config setup
~ interfaces=%defaultroute
~ plutodebug=all
~ klipsdebug=none
~ crlcheckinterval=600
~ hidetos=yes
~ uniqueids=no
~ strictcrlpolicy=yes
~ nat_traversal=yes
conn %default
~ left=%defaultroute
~ compress=yes
~ rekey=yes
~ disablearrivalcheck=no
~ keyingtries=3
~ leftcert=strongsw-crt.pem
~ rekeymargin=30s
~ rekeyfuzz=100%
~ pfs=no
~ authby=rsasig
conn right1
~ type=transport
~ leftprotoport=17/1701
~ right=%any
~ rightprotoport=17/%any
~ rightid="/C=BG/ST=Sofia/L=alabala/O=alabala/OU=alabala/CN=alabala"
~ esp="3des-md5-96,3des-sha1-96"
~ auto=add
conn block
~ auto=ignore
conn clear
~ auto=ignore
conn private
~ auto=ignore
conn private-or-clear
~ auto=ignore
conn clear-or-private
~ auto=ignore
conn packetdefault
~ auto=ignore
Това ти е за openswan , ако ползваш през strongswan transport трябва да
добавиш в strongswan_version/programs/pluto/Makefile DEFINES=
- -DI_KNOW_TRANSPORT_MODE_HAS_SECURITY_CONCERN_BUT_I_WANT_IT \
за да можеш да ползваш type=transport.
За всеки юзер се добавя секция подобна на conn right като сменяш само
rightid това е subject-a на изгенерирания клиентски сертификат за всеки
клиент можеш да го видиш по следния начин
openssl x509 -noout -subject -in path_to/user-cert.pem
Конфигурацията на L2TP:
[global]
~ port = 1701
[lns default]
~ ip range = 192.168.7.1-192.168.7.25
~ local ip = 192.168.7.1
~ length bit = yes
~ require chap = yes
~ refuse pap = yes
~ require authentication = yes
~ name = FQDN
~ ppp debug = yes
pppoptfile = /etc/ppp/options.l2tpd
Пробвай тази схеам , ако те удволетворява .
Не ползвай ipsec.exe , дървен е опитай с SSHSentinel при него имаш
възможност да настройваш доста неща.
- --
Georgi Ivanov
System Administrator
Aii Data Processing
IT Department
http://6lyokavitza.org
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (FreeBSD)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org
iD8DBQFBifgL0dEkp0mjhDsRAtr6AJ47JOJpRe0mZedcshX02/5dhN1XkQCcCsFR
+ojwDmPQr53E3E+DKsMC7yE=
=lzr2
-----END PGP SIGNATURE-----
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
- Относно:
- lug-bg: VPN
- Изпратено от: Denislav Ganchev <denislav.ganchev@xxxxxxxxxx>
- Re: lug-bg: VPN
- Изпратено от: Georgi Ivanov <genius@xxxxxxxxxxxxxx>
- Re: lug-bg: VPN
- Изпратено от: Denislav Ganchev <denislav.ganchev@xxxxxxxxxx>
|
|
|